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EDITORIAL 
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Neulich ım Büro 


ffen ist gut. Abgesegnete Offen- 

heit ist besser, optimal allseits 
akzeptierte Absegnung. Den zweiten 
Status hat Microsofts Spezifikation 
des Office Open XML (OOXML) 
Anfang April erreicht, indem die 
International Organization for Stan- 
dardization und die International 
Electrotechnical Commission sie in 
den Rang eines ISO/IEC-Standards 
erhoben (siehe Seite 31). DIS 29500 
heißt das jüngste Kind aus deren Do- 
kumenten-Portfolio, zu dem auch der 
schon Anfang Mai 2006 von der ISO 
geadelte OOXML-Konkurrent Open 
Document Format (ODF) und zwei 
PDF-Spezifikationen gehören. 


Eine weitere Standardisierungsinstitu- 
tion, Ecma International, hatte das 
Format für Büroanwendungen bei der 
ISO eingereicht, nachdem sie selbst 
im Dezember 2006 OOXML als ihren 
Standard 376 verabschiedet hatte. Bei 
der ISO können nationale Gremien 
innerhalb von zwei Monaten noch 
formale Bedenken erheben. 


iX-Links 
bringt der Mai 


Beginnend mit dieser Ausgabe 
erhalten die Artikel, die Verweise 
ins Web enthalten, am Ende einen 
Hinweis darauf, dass diese Web- 
adressen auf dem Server der iX 
abrufbar sind. Über ein rechts oben 
auf der iX-Homepage angesiedel- 
tes Eingabefeld kommt man umge- 
hend zu den Links. In diesem Heft 
gilt das leider noch nicht für viele 
Artikel. Trotzdem schon viel 

Spaß ... 


Dass es während des sich hinziehen- 
den Prozedere teilweise seltsam 
zuging, wie unter anderem Proteste 
in Norwegen annehmen lassen, dürfte 
für diejenigen, die Software-Entschei- 
dungen zu treffen haben, in zwei 
Jahren von ungefähr so großem Inter- 
esse sein wie ein unberechtigter, aber 
vielleicht entscheidender Elfmeter in 
der 90. Minute, der die Meisterschaft 
kostet beziehungsweise bringt. Wich- 
tiger könnte sein, dass die Anerken- 
nung nicht bedeutet, dass die EU in 
ihren Anti-Trust-Bemühungen 
zwangsläufig innehält oder gar mit 
ihnen aufhört. 


Was für Microsoft bleibt, ist außer 
dem symbolischen (und politischen) 
Erfolg, die eigenen Dateiformate 

von der ISO standardisiert bekommen 
zu haben!, vor allem die Aussicht, 
sich nun nicht mehr als proprietär 
beschimpfen lassen zu müssen. 
Firmen-CTOs und Behördenleiter, 
die seit Jahren mit Microsofts Pro- 
dukten arbeiten, müssen angesichts 
von Forderungen nach offener Soft- 
ware jetzt nicht mehr befürchten, 

auf ODF umschwenken zu müssen, 
weil es das einzige offene Format für 
Büroanwendungen ist. Sie können 
schlicht auf die ISO-Entscheidung 
verweisen. 


Als letztes der Designziele für XML 
hatten die Herausgeber der Spezifi- 
kation seinerzeit vermerkt: „Terse- 
ness in XML markup is of minimal 
importance.“ Mindestens an diese 
Losung haben sich die Redmonder 
bei OOXML gehalten, denn 6000 
Seiten Spezifikation dürfte niemand 
knapp (engl.: terse) nennen wollen, 
und sie schreien förmlich danach, 
nicht vollständig implementiert zu 
werden. Das wiederum könnte sich 


als Haupthindernis für die vielbe- 
schworene Interoperabilität erweisen, 
denn wenn selbst Microsoft nicht alle 
Aspekte der 6000 Seiten implemen- 
tieren kann oder will, gibt es keine 
Gewissheit für alle anderen, dass ihre 
Auswahl sich mit der des großen 
Office-Herstellers deckt. 


Vielleicht erarbeiten alle Beteiligten 
(die Redmonder und ISVs) ja dem- 
nächst ein Mini-Profile, das alle 
Office-Programme berücksichtigen 
sollten. Auf unter 500 Seiten. 


Hong Dolne_ 


HENNING BEHME 


" Frei nach Winston Churchill: „Ich implementiere nur Standards, die ich selbst entworfen habe.” 
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File Carver: 
Geheime Daten finden 


Groupware 
für KMU 


Auch in kleinen und mittleren 
Unternehmen lässt sich Team- 
work digital unterstützen. 

Aber die Anforderungen an 
die Groupware-Produkte unter- 
scheiden sich deutlich von 
denen in Großbetrieben. Eine 
Marktübersicht vergleicht 16 
kommerzielle und freie Pakete. 


Seite 99 


FREIE LT Ash 


Egal, ob Daten versehentlich gelöscht oder bewusst versteckt wurden - 
File Carver sind in der Lage, auch für immer verschwunden geglaubte 
Informationen zu rekonstruieren. Mittlerweile existieren sogar praxistaugliche 


Open-Source-Werkzeuge. 


Groovy + Java = 
Grails 1.0 


Das in Insiderkreisen begeistert 
gefeierte Grails hat im Alter von 
drei Jahren das O.x-Stadium hinter 
sich gelassen und kann sogar 
schon Content Negotiation. 

Das Werkzeug der Wahl für 
schlanke Webanwendungen? 


Seite 137 


Seite 56 
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Wenn Apples iPhone sein 
Potenzial als Business-Handy 
entfalten soll, sind mehr 
Anwendungen gefordert. 

Das jetzt veröffentlichte 
Software Developer Kit soll 
den nötigen Entwicklungsschub 
bringen. Es unterstützt native 
Anwendungen für iPhone und 
iPod Touch. 


Seite 13] 


1X 5/2008 


Geodaten ie 


Freies Landkartenprojekt: RI 
OpenStreetMap % 
Groupware E, 
Collaboration-Lösungen für KMU 27 9 


Desktops 
25 Jahre PCs mit grafischer Oberfläche 106 


Datensicherheit 
Sinn und Unsinn zentraler 
Verschlüsselungslösungen 107 


LwSsEN UN | 
Softwarewiederverwendung 

Produktlinien - die Zukunft der ER 
industriellen Softwareentwicklung 7 110 


Datenspionage 
Wie Brillengläser Geheimnisse verraten 115 


Suchverfahren 
Semantische Ansätze 118 
PRAXIS 


Webprogrammierung 
Amazons Web-2.0-Schnittstellen RN 122 


Entwurfsmuster vo 

Flexibel programmieren 

mit dem Fluent Interface 126 

Embedded Systems 

Entwicklung mit dem iPhone SDK RN 131 

Skriptsprachen > 

PDF generieren mit dem 

Zend-PHP-Framework 134 

Webprogrammierung 

Grails 1.0 veröffentlicht er 137 

Samba-Tutorial Ill = 

Samba als primärer 

Domänencontroller Er 140 
N 

Tools und Tipps i 

Automatische Makefile-Rebuilds 

verhindern 145 


Internet-Infos 


Universal Serial Bus mal anders 146 
Vor 10 Jahren 

Reif sein ist nicht alles 147 
Buchmarkt 

Java 148 


Rezensionen 
Eclipse 3.3, Modellgetriebene 


SW-Entwicklung, CSS 149 
Editorial 3 
Leserbriefe 6 
iX extra: Networking nach Seite 130 
Seminarkalender 151 
Marktteil 152 
Stellenmarkt 154 
Inserentenverzeichnis 160 
Impressum 161 
Vorschau 160 

7 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


LESERBRIEFE 


Mai 2008 


April, April 


(Internet: Bund plant „Netz des Vertrauens“ auf 


IPv6-Basis; iX 4/08; S. 32) 


Sie könnten zu meinem Wohlbefinden 
beitragen, indem Sie meine Vermutung 
bestätigen, dass das orwellianisch be- 
nannte „Netz des Vertrauens“ ein April- 
scherz ist. 


SIMON THUM, VIA E-MAIL 


Da den Politriksern und deren Zuträ- 
gern so einige denk- beziehungsweise 
merkwürdige Dinge einfallen, muss 
ich diesen Artikel nicht unbedingt den 
aprilösen Scherzen zuordnen. Oder?!? 


JÖRG K. SEIFERT, OLDENBURG 


Ist das der Aprilscherz oder hat das tat- 
sächlich wahre Hintergründe? 

Wäre schön, wenn sich nicht alle 
Schreckensszenarien bewahrheiten wür- 
den. 


ANDREAS BITTNER, VIA E-MAIL 


Die drei Leser liegen - wie viele ande- 
re — mit ihren Hoffnungen respektive 
Vermutungen richtig: Es handelt sich 
bei der Meldung um den diesjährigen 
Aprilscherz. Derzeit sind uns keine der- 
artigen Pläne bekannt. (d. Red.) 


GPS nicht per se langsam 


(Forschung: WLAN und Roboter auf dem Vor- 


marsch; iX 4/08; S: 20) 


Ich muss bezugnehmend auf den Ar- 
tikel „Gut eingebettet“ einen schwer- 
wiegenden Fehler korrigieren: Die 
Einwahl in GPS ist nicht systembe- 
dingt langsam, sondern nur durch die 
Anforderung, ohne Benutzereingabe 
automatisch herauszufinden, wo man 
sich befindet — und zwar überall auf 
der Welt. Wenn man diese Informa- 
tionen zur Verfügung stellt - bei frühe- 
ren GPS durch die Eingabe des nächs- 
ten Ortes, heutzutage via A-GPS und 
dGPS, welche jeweils einen GSM-Sen- 
demast beziehungsweise einen nahen 
Referenzstandort verwenden - funktio- 
niert es praktisch ohne Verzögerung. 
Die weite Verbreitung automatischer 
Positionsbestimmung sollte GPS nicht 
zum Nachteil gereichen ;-) Diese An- 
forderung kann die WLAN-Lokalisie- 
rung klarerweise nicht bieten. 

Ich hatte die Gelegenheit, das Sys- 
tem von Fraunhofer persönlich circa 


eine Stunde zu testen und bin extra 
deswegen von Wien angereist. Mein 
Eindruck ist, dass es sich um ein 
komplementäres System zu GPS han- 
delt: es funktioniert sehr gut in engen 
Straßen, wo GPS schlecht arbeitet; 
neigt jedoch auf großen Plätzen zum 
Hin- und Herpendeln — ebenso wie in 
Gebäuden. Die Erkennung, in wel- 
chem Raum man sich befindet, funk- 
tioniert ganz gut — innerhalb des 
Raums ist eine Lokalisierung aber 
praktisch nicht möglich. 

Der große Nachteil des Fraunhofer- 
Systems ist aber, dass jede Stadt (Auf- 
wand circa 8 Manntage für die Nürn- 
berger Innenstadt) sowie jedes einzelne 
Gebäude vermessen werden und diese 
Messung regelmäßig wiederholt wer- 
den muss — zumindest einmal im Jahr, 
wahrscheinlich wesentlich öfter. Das 
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macht es nicht kompetitiv zu GPS, da 
hohe Initialkosten anfallen. Nur wenn 
das System eine kritische Masse er- 
reicht und die laufenden Messungen 
z. B. via GPS-Referenz vollständig 
automatisiert werden können und eine 
approximative Simulation der Gebäu- 
deabschirmung aufgrund von existie- 
renden Bauplänen geschaffen wird, wä- 
re dieses System kompetitiv. Bis dahin 
ist es aber noch ein langer, steiniger 
Weg, und so positioniert Fraunhofer das 
System auch als Nischenanwendung 
und nicht als GPS-Ersatz — und so soll- 
ten Sie es auch beschreiben! 


DR. ALEXANDER K. SEEWALD, 
VIA E-MAIL 


2D-Code-Reader 
für iPhone 


(World Wide Web: Der mobile Link ins Internet; 


iX 3/08; S. 116) 


Habe mich gewundert, dass in Ihrem 
sehr interessanten Code-Tagging-Arti- 
kel mit keinem Wort die Aachener 
Firma Gavitec erwähnt wurde. Immer- 
hin hat Gavitec (www.mobiledigit.de) 
mit dem NeoReader (www .neoreader. 
com) den zurzeit weltweit technisch 
besten Code-Reader auf dem Markt. Er 
liest sowohl 1D- als auch 2D-Codes und 
kann bis zu 7 unterschiedliche (also 
auch proprietäre) Codes lesen. Weiter- 
hin beherrscht der NeoReader nicht 
nur direktes, sondern auch indirektes 
Code-Reading. Bei der direkten Me- 
thode (Kayawa, Zxing, BeeTagg usw.) 
ist die Adresse im Code selbst abge- 
bildet, während beim indirekten Sys- 


Die iX-Redaktion behält sich Kürzungen und 
auszugsweise Wiedergabe der Leserbriefe vor. 
Die abgedruckten Zuschriften geben ausschließ- 
lich die Meinung des Einsenders wieder, nicht 
die der Redaktion. 
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tem ein Server zwischengeschaltet ist, 
um Codes „in Echtzeit“ über das Inter- 
net zu validieren. 

Im Besonderen ist das indirekte Sys- 
tem aber günstig für Marketinganaly- 
sen, da auf diesem Wege Nutzungs- 
daten der Konsumenten mitgeliefert 
werden. Wer klickt was wann an, das 
sind die interessanten Informationen 
für die Markenartikler und die große 
Chance auch für die Mobilfunkunter- 
nehmen, finanziell am Code-Tagging- 
Geschäft zu partizipieren. 

Übrigens will AT&T noch in die- 
sem Monat bekanntgeben, dass der 
NeoReader vorinstalliert in den USA 
auf dem iPhone ausgeliefert wird. Die- 
se Nachricht wird die kleine Firma aus 
Deutschland sicherlich schlagartig be- 
kannt machen. 

Großes Vertrauen in die Gavitec- 
Technik setzt derzeit auch die Welt- 
Airline-Vereinigung IATA. Bis zum 
Jahr 2010 sollen alle Flughäfen dieser 
Erde mit 2D-Handy-Boarding-Sys- 
temen (sogenannte Exio-Scanner, die 
2D-Codes vom Handy-Bildschirm ab- 
lesen können) von Gavitec bestückt 
werden. Papiertickets und Boarding- 
tickets fallen weg. Damit will die 
IATA jährlich 3 Milliarden Euro ein- 
sparen. 


RAFAEL TORRES, KÖLN 


Ergänzungen und Berichtigungen 


(Vorschau: Rundum-sorglos-Pakete für KMU; 
iX 4/08; 8,170) 


Der Artikel über die Linux-Konkurrenz 
zu Microsofts Small Business Server 
erscheint aus redaktionellen Gründen 


erst in Ausgabe 6/08. 
(Wirtschaft: Zuwachs; iX 3/08; S. 40) 


Der in der Ausgabe 3/2008, Seite 40, 
gemeldete Umsatz der hiesigen GmbH 
von SAS Institute in Höhe von 152 
Mio. Euro für 2006 ist nicht mit dem 
Umsatz von SAS Deutschland gleich- 
zusetzen. Bis 2006 hat SAS den Umsatz 
der SAS GmbH mit Sitz in Deutschland 
veröffentlicht (Umsatz 2006: 152 Mio. 
Euro), der zusätzlich Einnahmen der or- 
ganisatorisch hier angesiedelten EMEA- 
Zentrale enthielt. Durch die Schließung 
der EMEA-Zentrale in Deutschland 
war es für 2006 zum ersten Mal mög- 
lich, Umsatzzahlen (2006: 90 Mio. Eu- 
ro) ausschließlich für SAS Deutschland 
auszuweisen. 
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Firmenkongress 


Novells 23. Brainshare in Salt Lake City 


Tanz mit Fossa 


Detlef Borchers 


Nach den Turbulenzen im Vorjahr versuchte Novell 
den Besuchern mit dem „Fossa Project” Langzeit- 
strategie zu vermitteln. Aber auch ohne diese 
„Vision“ zeigte die Brainshare (Motto: „Making IT 
Work as One”), dass Novell mit den Themen 
Hardwarevirtualisierung und Identitätsmanagement 


auf einem guten Weg ist. 


T% man die Welt in prakti- 
sche Quadranten auf — wie es 
IT-Analysten gerne machen -, 
so gibt es Sektoren für Fir- 
men, die im Wesentlichen bei 
„Closed Source“ bleiben wie 
Microsoft und solchen, die auf 
„Open Source“ (OSS) setzen 
wie Red Hat. Die anderen bei- 
den Quadranten bilden die inter- 
essanten Mischungen, etwa Ap- 
ple mit einem Betriebssystem, 
das quelloffene Wurzeln hat. 
Mit der Basis Linux, eigener 
Managementsoftware als Über- 
bau sowie als Querstreben ei- 
nen Pakt mit Microsoft und ei- 
nen mit SAP, gibt sich Novell 
gerüstet für die Zukunft. Anders 
als 2007, als das Microsoft-Ab- 
kommen im Mittelpunkt stand, 
gab man sich heuer viel Mühe, 
diese Mischung als „ganzheitli- 
che“ Strategie zu verkaufen und 
fand damit wohl Akzeptanz bei 
den rund 5000 Teilnehmern. 
Unter ihnen waren deutlich 
mehr Linux-Programmierer als 
früher, sodass ein Klischee auch 
visuell bestätigt wurde: Den 
klassischen Netware-Admin mit 
kleinem Bauch ersetzen drahti- 
ge Linux-Cracks, die in den 
Pausen Spaß am Gerät haben. 


Viele neue Namen 


Sogar einen Namen hatte man 
bei Novell für die neue, ganz- 
heitliche Strategie gefunden. 
Auf „Fossa Project“ getauft, 
erinnerte der Name sowohl an 
„Free and Open Source Soft- 
ware Architecture‘ als auch an 
eine kleine, agile, auf Madagas- 
kar lebende Raubkatze. Mit 
Fossa definiert sich Novell als 
agile Firma mit einer Strategie, 
die bis etwa 2015 reichen soll. 
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Orchestration, Compliance und 
Collaboration: Novells Be- 
schreibung von Fossa ist voller 
„Buzzwords“, die in den kom- 
menden Jahren Produkte mit 
Leben füllen sollen. In seiner 
Keynote beschrieb Novells 
Technikchef Jeff Jaffe das Fos- 
sa-Projekt: „Linux ist die Basis 
unserer Virtualisierungslösung. 
Es wird eine p-Distro - ein Li- 
nux-Kern sowie ein abgespeck- 
tes Betriebssystem — geben, die 
die Hardware kontrolliert und 
virtuelle Maschinen startet. Auf 
dieser Distro laufen virtuelle 
Maschinen oder v-Distros, ge- 
steuert von einem mit dynami- 
schen Policies arbeitenden Iden- 
titätsmanagement. Das Resultat: 
Eine durchgehende Orchestrie- 
rung von Hard- und Software.“ 

Wie das alles funktionieren 
soll, zeigte Novell am dritten 
Tag der Brainshare mit einem 
SAP-Beispiel und der Manage- 
mentsoftware Zenworks Or- 
chestrator. Anwender, die sich 
morgens in SAP einloggen, be- 
nötigen zusätzliche Rechenleis- 
tung. Virtuelle Maschinen wer- 
den mit der Software passend 
zu den Nutzerberechtigungen 
gestartet und wieder geschlos- 
sen, wenn der Bedarf zurück- 
geht. Für die Demonstration be- 
kam Jaffe großen Beifall von 
den Technikern, die in der neu- 
en Fossa-Terminologie „Com- 
pliance Officers“ heißen und 
nicht länger die vielgescholte- 
nen Administratoren sind. Bei- 
fall gab es auch, als am Ende 
der ersten Keynote-Runde die 
amerikanische SAP-Managerin 
Pat Hume verkündete, dass No- 
vells Enterprise Linux die zen- 
trale Systemplattform für SAPs 
Einsteigerlösung Business All- 


in-one sein soll, die SAP bis 
zum Jahr 2010 über 100 000- 
mal installieren möchte. Zwar 
hatte SAP ein ähnliches Ab- 
kommen mit Microsoft kurz zu- 
vor auf der Cebit verkündet, 
doch sieht man sich bei Novell 
durch die Integration in den 
Zenworks Orchestrator im Vor- 
teil, der direkt an SAPs Net- 
weaver andockt. 

Überhaupt, Microsoft: Wäh- 
rend das Abkommen im letzten 
Jahr auch unter den Brainshare- 
Teilnehmern umstritten war, die 
OSS-Fraktion in einem benach- 
barten Hotel sogar eine Protest- 
veranstaltung abhielt, wurden 
die Redmonder mit ihrem gro- 
ßen Stand auf der Begleitmesse 
ausnehmend freundlich be- 
grüßt. Laut Novell brachte die 
Kooperation Kunden (zurück), 
die man sonst nicht erreicht hät- 
te: die Ladenketten Wal-Mart 
und Office Depot sowie die 
HSBC-Bank entschieden sich 
so für Novell. Wichtigstes Pro- 
dukt der Allianz ist wohl die 
Virtualisierungslösung für Win- 
dows Server 2008, die erwähnte 
Compliance Officers betreuen 
dürfen. Außerdem sei der Auf- 
tritt von Kim Cameron erwähnt, 
der bei Microsoft als Chefstra- 
tege für das Identitätsmanage- 
ment mit Novell-Managern wie 
Dale Olds vom Bandit-Projekt 
über den „Identitäts-Bus‘“ dis- 
kutierte. Ob in Firmennetzen 
oder im Web, überall soll ein 
Anwender ID-Cards einsetzen 
können, bei denen er entschei- 
det, welche Teile seiner Iden- 
tität er preisgeben will und wel- 
che vertraulich sein sollen. Aus 
deutscher Sicht mag hier von 
Interesse sein, dass Novell mit 
Atos Origin gemeinsam Direc- 
tory- und Compliance-Lösun- 
gen vermarkten will, mit denen 
Firmen staatliche Auflagen ein- 
halten können. Neue Kunden 
dieser Partnerschaft sind der 
deutsche Sender Premiere und 
die spanische Arbeitsagentur 
Institutode Empleo Servicio Pu- 
blico (INEM). 


Ausblick auf SLES 11 


Neben der Ankündigung zahl- 
reicher Kooperationen nannte 
Novell erste Pläne für sein kom- 
mendes Enterprise Linux 11 auf 
Basis des Linux-Kernels 2.6.27. 
Neben der üblichen Aufteilung 
in SLES (Server) und SLED 
(Desktop) wird es je eine Ver- 
sion für Thin Clients und für 
Appliances geben. Daneben will 


man einen Schul-Desktop zu- 
sammenstellen, den Lenovo und 
Dell zusammen mit ihren Lap- 
tops vermarkten. Für Umsteiger 
von alten Unix-Systemen wird 
SLES 11 mit Oracles OCFS ein 
Posix-konformes Dateisystem 
erhalten. Die vagen Angaben 
sind nach Novell reine Orientie- 
rungsmarken für die Entwickler, 
sich diesem oder jenen Open- 
Source-Projekt anzuschließen. 
Niemand Geringeres als der 
Entwicklungschef Jeff Jaffe 
gab sich vorsichtig, was die 
viel beschworene Integration 
von OSS-Projekten bei Novell 
anbelangt: „Die Arbeit der 
Community ist toll, aber wenn 
die Innovationen in viel zu viele 
Richtungen gehen, dann ver- 
franzt man sich. Wir müssen 
die Vorgaben machen und die 
Fahrtroute abstecken.“ 

Ob diese Vorgaben ankom- 
men und bei Novell zu einem 
„ganzheitlichen“ Ansatz führen, 
der die Produktion von offener 
wie proprietärer Software er- 
möglicht, steht in den Sternen: 
Als Raubkatzen konnten sich 
Fossas nur auf Madagaskar hal- 
ten, wo sie keine natürlichen 
Feinde haben. Zur Brainshare 
präsentierte Novell mit Joe 
Brockmeier erstmals einen 
„Community Manager“, der als 
Dolmetscher zwischen Ma- 
nagement und der Entwicklern 
potenzielle Irritationen aus dem 
Wege räumen soll. Er gab sich 
überzeugt, dass bald alle großen 
Firmen solche Community-Ma- 
nager einsetzen würden — und 
das nicht nur als „Evangelis- 
ten“, die Anwender von Linux 
überzeugen. So stehen Novell 
spannende Zeiten bevor. Das 
meinen auch die Akademiker, 
die im Rahmen eines Technolo- 
gie-Austauschprogrammes erst- 
mals an der Brainshare teilneh- 
men konnten. Ein Neuling 
erklärte sein Eintauchen in das 
Klassentreffen der Administra- 
toren aus aller Welt: „Man kann 
hier Novells Technologien stu- 
dieren. Man kann aber auch 
Novell als Technologie studie- 
ren. Das ganze Gerede um 
Mixed-Source-, Semi-Source- 
und Closed-Source-Software- 
firmen ist doch Unsinn. Kein 
Softwarehersteller wird zu- 
künftig daran vorbeikommen, 
OSS-Entwicklungsprojekte zu 
integrieren, auch Microsoft 
oder SAP nicht. Novell ist so- 
mit ein Studienobjekt für die 
Reibungsverluste, die dabei 
auftreten können.“ (avr) 
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MARKT + TRENDS 


Virtual Reality 


VR 2008: Neue Interaktionstechniken im Einsatz 


Händedruck in 3D 


Christian Geiger 


Neue Eingabegeräte und die Interaktion zwischen realen und virtuellen 
Menschen waren Thema vieler Vorträge auf der VR 2008 in Reno. Industrielle 
Anwendungen zeigen, dass die Erweiterung der Realität im Kommen ist. 


Ei Woche lang traf sich die 
internationale VR-Gemeinde 
in Reno, um sich über neue 
Techniken in den Bereichen 
3D-Schnittstellen, virtuelle Re- 
alität sowie haptische Ein- und 
Ausgabegeräte auszutauschen. 
Die starke deutsche Beteiligung 
belegt, dass deutsche Forscher 
eine führende Rolle bei der Ent- 
wicklung neuer VR-Techniken 
spielen. 

Neue Aufgaben erfordern 
neue Eingabegeräte. Ein ame- 
rikanisches Team stellte ein 
virtuelles Boreskop mit hapti- 
schem Feedback vor. Boresko- 
pe sind kostspielige technische 
Endoskope, die man beispiels- 
weise zur Inspektion von Mo- 
torelementen im Flugzeugbau 
verwendet. Zum Training sol- 
cher Aufgaben wurde ein 
Metallschlauch in einen Holz- 
kasten geführt und dort mit ei- 
ner optischen Maus verbunden, 
um die Position des Schlau- 
ches zu erfassen. Das haptische 
Feedback erfolgte über Servo- 
motoren, die eine Curryklem- 
me aus dem Segelsport steu- 
ern und so die Bewegung des 
Schlauches computergesteuert 
einschränken. Erste Tests erga- 
ben bessere Ergebnisse mit hap- 
tischem Feedback. 


Als Ergebnis einer studenti- 
schen Abschlussarbeit stellte 
die Fachhochschule Düsseldorf 
ein Eingabegerät vor, das zwei 
Griffe mit Tastern durch eine 
50 cm lange Biegefeder verbin- 
det. Die beiden Enden sind mit 
Infrarot reflektierenden Kugeln 
versehen, sodass ein Tracking- 
System sie verfolgen kann. 
Das System dient zur Eingabe 
bei der Simulation von Kabel- 
schläuchen. Auch wenn sich die 
flexible Verbindung nicht exakt 
wie ein Schlauchelement ver- 
hält, kann man mit dem Gerät 
recht intuitiv spezielle Aufga- 
ben bei der Schlauchsimulation 
erledigen (s. Abbildung). 

Head-Mounted Displays wer- 
den oft wegen ihrer geringen 
Auflösung und des kleinen 
Sichtwinkels kritisiert. Ein neu- 
es Device von Sensics (www. 
sensics.com) bietet eine Full- 
HD-Auflösung und einen Sicht- 
winkel von bis zu 180 Grad ho- 
rizontal beziehungsweise 80 
Grad vertikal. Durch ein Feld 
gekachelter Mikro-Displays mit 
Linsenprismen kann man unter- 
schiedliche Auflösungen und 
Sichtfelder konfigurieren, in- 
dem man mehr oder weniger 
Felder kombiniert. Durch die 
OLED-Technik sind die Geräte 


Mit beiden Händen bedient der Anwender dieses Eingabegerät für 
Schlauchsimulationen. 
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sehr leicht (ca. 50 g pro Auge), 
besitzen eine hohe Grundhellig- 
keit und einen guten Kontrast. 
Ein einzelnes Modul kostet cir- 
ca 15 000 US-$, und als Preis 
für ein komplettes HMD nann- 
ten die Aussteller eine Größen- 
ordnung ab 25000 $. 


Virtuelle Menschen 
in der Industrie 


Beiträge zu industriellen An- 
wendungen in der VR zeigen, 
dass die Technik den Weg aus 
den Laboren der Universitäten 
heraus gefunden hat. Forschern 
der Bauhaus-Universität Wei- 
mar ist es in Zusammenarbeit 
mit VW gelungen, ein System 
zum Testen neuer Interaktions- 
techniken in zukünftigen Fahr- 
zeugzellen zu entwickeln. Da 
die Simulation künftiger Be- 
dienkonzepte auch die Interak- 
tion mit dem Beifahrer erfor- 
dert, verfolgt das System die 
Kopf- und Handbewegungen 
zweier Personen gleichzeitig 
und stellt passende Avatar- 
Modelle zur Verfügung, sodass 
beide Benutzer die Handlungen 
des anderen in der virtuellen 
Welt beobachten können. 
Forscher der Universität 
Graz präsentierten eine indus- 
trielle Anwendung, die virtuel- 
le Objekte direkt in reale Sze- 
nen einbettet. Diese Technik 
heißt „Augmented Reality“ 
(AR) und gilt als vielverspre- 
chende Erweiterung der VR. 
Das in Graz entwickelte Sys- 
tem zur Abnahme für Indus- 
triebauten ermöglicht eine 
schnelle Überprüfung, die vor 
Ort mit einem fahrbaren Tele- 
skopgestell erfolgt, auf das ein 
Touchscreen mit Videokamera 
montiert wurde. Mit dem Sys- 
tem ließen sich Abweichungen 
zu den ursprünglichen Plänen 
direkt ins Videobild einblen- 
den und konnten so schneller 


festgestellt werden als durch 
den Einsatz eines Mini-Laptops 
(UMPC) oder mittels Head- 
Mounted Display. 

Ein Schwerpunkt war die 
Modellierung virtueller Men- 
schen. Der Einsatz solcher 
Modelle im Rahmen von Er- 
gonomieuntersuchungen in der 
Automosbilindustrie ist ein wich- 
tiger Anwendungsbereich von 
VR. Benjamin Lok von der 
Universität Florida hat sich auf 
Untersuchungen mit 3D-Avata- 
ren spezialisiert und präsentier- 
te Ergebnisse seiner Forschung. 
Für die Kommunikation zwi- 
schen Mensch und 3D-Avatar 
wurde ein Werkzeug vorge- 
stellt, das einen Review der er- 
folgten Interaktion in medizi- 
nischen Gesprächssituationen 
ermöglicht. Studenten konnten 
so ihre Kommunikation mit vir- 
tuellen Patienten überprüfen 
und verbessern. Die bei Unter- 
suchungen notwendige „berühr- 
bare“ Interaktion ermöglichen 
Loks „Mixed Reality Humans“, 
bei denen lebensgroße Puppen 
als Untersuchungsobjekt dienen 
und über ein HMD virtuell Re- 
aktionen des simulierten Pa- 
tienten dargestellt werden. 

Ein Kernproblem in VR- 
und AR-Welten ist das Tra- 
cking des Benutzers und einzel- 
ner Objekte. Als naheliegende 
Lösung verwenden Entwickler 
spezielle optische Marker oder 
nutzen teure Sensoren. Seit 
Langem arbeitet man daher an 
alternativen Techniken zur 
markerlosen Bilderkennung in 
Echtzeit. Forscher der Univer- 
sität Darmstadt haben in einem 
hybriden Ansatz Inertialsenso- 
ren mit einem kantenbasierten 
Bilderkennungsverfahren kom- 
biniert. Dabei messen Sensoren 
die Bewegung und Orientierung 
einer Videokamera. Diese Da- 
ten werden mit dem aktuellen 
Kamerabild abgeglichen und 
ermöglichen eine effiziente Er- 
kennung von Merkmalen wie 
Ecken und Kanten. Der Ver- 
gleich mit einem vorab gespei- 
cherten 3D-Modell erlaubt die 
robuste und schnelle Erkennung 
einer Szene. 

Obwohl sich VR und AR- 
Techniken in Teilgebieten be- 
reits durchgesetzt haben, wer- 
den kommerzielle Produkte auf 
breiter Anwenderebene trotz 
vieler spannender Ergebnisse 
noch auf sich warten lassen. 
Die nächste Konferenz soll im 
März 2009 in Lafayette, Loui- 
siana, stattfinden. (ka) 
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MARKT + TRENDS 


Web-Framework 


Oliver Becker 


JSFDays 
n Vienna. 


Ds 


JSFDays 08: Mehr Schnittstellen für RIAs 
Neue 
Gesichtsfelder 


Das Web-Framework Java Server Faces erfreut sich 
wachsender Beliebtheit und hat seit Kurzem seine 


eigene Konferenz. 


M: als 160 JSF-Interes- 
sierte folgten der Einla- 
dung Inrias, Initiator des Pro- 
jekts Apache Myfaces, Mitte 
März nach Wien. So viele, dass 
der Veranstalter kurzfristig grö- 
Bere Räumlichkeiten organisie- 
ren musste. 

Zu Beginn der Konferenz 
benannte Ed Burns, Lead der 
JSR Expert Group für Java 
Server Faces (JSF) 2.0, in sei- 
ner Keynote den Fokus für das 
Web-Framework: die Bereit- 
stellung mächtiger Nutzer- 
schnittstellen für Rich Internet 
Applications (RIA). Mithilfe 
solcher Schnittstellen sollen 
sich Webanwendungen entwi- 
ckeln lassen, die Desktop-Pro- 
grammen ebenbürtig sind. 


Vor- und Nachteile 
der Browser-Plug-ins 


Dementsprechend drehte sich 
ein Großteil der Beiträge um 
RIAs. Mehrere Vortragende 
stellten die Ajax-fähigen Kom- 
ponentenbibliotheken Rich Fa- 
ces, ADF Faces und ICE Faces 
vor. Max Katz verglich JSF 
mit den alternativen Techni- 
ken Flex und JavaFX, die spe- 
zielle Browser-Plug-ins benö- 
tigen, in der die Ausführung 
der Anwendungen erfolgt. Das 
hat den Vorteil, dass eine sol- 
che Applikation unabhängig 
vom Browser immer gleich 
aussieht. Allerdings sind sepa- 
rate Plug-ins nicht immer er- 
wünscht, und auch Suchma- 
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schinen können nicht auf sie 
zugreifen. 

Stefan Schuster demonstrier- 
te schließlich am Beispiel von 
mind24.com die Mächtigkeit 
reiner Javascript-Anwendun- 
gen. Dass Scripting mehr be- 
deutet als Browser-Javascript, 
zeigte Kito Mann, der Möglich- 
keiten zur Entwicklung server- 
seitiger Komponenten auf der 
Basis von Skriptsprachen vor- 
stellte. 


Mehr Frameworks für 
mehr Komfort 


Drei weitere Vorträge beschäf- 
tigten sich mit den JSF-Inte- 
grations-Frameworks Myfaces 
Orchestra, JBoss Seam und 
Apache Shale. Vor allem Seam 
und Orchestra wurden ausführ- 
lich und praxisnah präsentiert 
und fanden entsprechenden 
Anklang beim Publikum. Bei- 
de fügen unter anderem den 
JSF-Standard-Scopes einen 
Conversation-Scope hinzu und 
ermöglichen die Validierung 
von Eingabedaten auf der Ba- 
sis von JPA-Annotationen. Ins- 
besondere Seam bietet darüber 
hinaus eine Vielzahl weiterer 
Funktionen, die innerhalb des 
Vortrags nur kurz angerissen 
werden Konnten und einen ge- 
naueren Blick wert sind. 

Der kurzweilige Beitrag zu 
Shale zeigte die Kehrseite man- 
cher Projekte. Obwohl viele 
Anwender dieses Framework 
erfolgreich einsetzen, ist des- 


sen Zukunft mangels aktiver 
Entwickler ungewiss. Immer- 
hin haben die mit Shale ge- 
sammelten Erfahrungen und 
Ideen andere Projekte inspi- 
riert und werden auf diese 
Weise fortbestehen. 

Jürgen Höller sprach über 
die sehr gute JSF-Integration 
in Spring. Weitere Vorträge 
stellten Werkzeuge für das Tes- 
ten von Webanwendungen so- 
wie die Steuerung der Ressour- 
cenkonfiguration mithilfe von 
Weblets vor. Manfred Geiler 
präsentierte eine clevere Idee, 
mit der sich Domänen-Objekte 
aspektorientiert, jedoch ganz 
ohne echte AOP-Sprachmittel 
um Ul-spezifische Eigenschaf- 
ten und Aktionen erweitern 
lassen. 


JSF 2.0 steht 
in den Startlöchern 


Mit großem Interesse erwarte- 
ten die Konferenzteilnehmer 
die Session zu den Eigenschaf- 
ten der kommenden Version 
JSF 2.0. Ed Burns listete die 
aus dem JSR 314 bereits be- 
kannten Top-5-Anforderun- 
gen und erste Lösungsansätze 
auf: vereinfachte Komponen- 
ten-Implementierung, Ajax-Un- 
terstützung, eine standardisier- 
te Seitenbeschreibungssprache 
(Facelets), die reduzierte Konfi- 
guration sowie eine verbesserte 
Kompatibilität zwischen unter- 
schiedlichen Komponentenbi- 
bliotheken. Zu den weiteren 
Zielen zählen ein verbessertes 
State-Management, REST-Fä- 
higkeit, minimaler Deploy- 
ment-Aufwand und zusätzliche 
Scopes. Ein erster öffentlicher 
Entwurf für JSF 2.0 soll spätes- 
tens zur JavaOne Ende April 
erscheinen. Lebhafter wurden 
dann der Entwicklungsprozess 
selbst und die Einbindung der 
Öffentlichkeit diskutiert. Vor- 
schläge vonseiten der Konfe- 
renzteilnehmer, das Archiv der 
internen Mailingliste zu öff- 
nen oder wöchentliche Zu- 
sammenfassungen über die 
Arbeit der Expert Group zu 
veröffentlichen, wurden posi- 
tiv aufgenommen. 

Nach der diesjährigen erfolg- 
reichen Premiere kann man mit 
Sicherheit davon ausgehen, 
dass es eine Folgekonferenz 
JSFDays 09 geben wird. Alle 
Vorträge sind über die Konfe- 
renz-Homepage (conference.ir 
ian.at) abrufbar. (ka) 
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MARKT + TRENDS 


Sicherheit 


Datenklau im RAM mit iPod & Co. 


Zweckentfremdet 


Stefan Middendorf 


Wie man mit einem umfunktionierten iPod ein 
Notebook bootet und dessen Hauptspeicher ausliest, 
war nur eines der thematischen Highlights der 


diesjährigen CanSecWest. 


D ie bereits zum neunten Mal 
veranstaltete CanSecWest 
zählt mit der Black Hat/Def- 
con zu den größten IT-Sicher- 
heitskonferenzen Nordamerikas. 
Rund 400 Teilnehmer fanden 
sich diesmal in Vancouver ein. 
Rich Cannings von Google 
berichtete über Techniken, 
Flash-Komponenten für Cross- 
site-Scripting-Angriffe zu miss- 
brauchen (Cross-site Flashing). 
Diese Technik beruht darauf, 
dass die Flash-eigene Program- 
miersprache Actionscript das 
Ausführen von Javascript-Code 
im Browser ermöglicht. Über- 
gibt man der URL zum Abruf 
der Flash-Datei Parameter mit 
Javascript-Fragmenten, kann 
bei Vorhandensein einer ent- 
sprechenden Schwachstelle im 
Actionscript-Code der Java- 
script-Code im Browser des 
Opfers zur Ausführung kom- 
men. Adobe hat zwar Ende letz- 
ten Jahres einen Fix für das 
Flash-Plug-in herausgebracht, 
der die Ausnutzung erschwert, 
das große Problem ist jedoch, 
dass viele Flash-Authoring- 
Tools verbreitet sind, die immer 
noch verwundbare Actionscript- 
Fragmente in die erzeugten 
Flash-Komponenten einbauen. 
Ein weiterer Vortrag be- 
schäftigte sich mit Cold-Boot- 
Attacken. Hierbei nutzt man 
dem Umstand aus, dass RAM- 
Chips nach dem Abschalten 
des Stroms noch für eine Weile 
ihren Zustand erhalten. Schal- 
tet man das System innerhalb 
dieser Zeitspanne wieder ein 
und sorgt dafür, dass die alten 
Speicherinhalte beim Hochfah- 
ren nicht überschrieben wer- 
den, lassen sich diese auslesen. 
Das ermöglicht das Abgreifen 
sensibler Informationen wie 
Passwörter, die sich vor dem 
Ausschalten im RAM befan- 
den. Die „Überlebensdauer“ 


der Daten hängt vom Typ der 
RAM-Chips und vom Compu- 
ter ab. In einigen Fällen waren 
die Daten sogar noch nach 
fünf bis zehn Minuten lesbar. 


iPod zum Hacken 


Bill Paul führte vor, wie er ein 
Notebook nach dem Ausschal- 
ten von einem umfunktionierten 
iPod neu bootete, auf dem sich 
ein von ihm entwickeltes Mini- 
betriebsystem befand. Dieses 
lässt den Hauptspeicher weitge- 
hend unberührt und gestattete 
das Kopieren des Notebook- 
RAMS auf den iPod. 

In einem Lightning Talk 
nannte der nmap-Entwickler 
Fyodor die neuen Features sei- 
nes Netzwerk-Scanners. So ist 
die Paketrate jetzt fest ein- 
stellbar und die Betriebssys- 
temerkennung wurde komplett 
neu entwickelt. 

Den Abschluss der Veran- 
staltung bildete ein Thema 
ganz anderer Art. Der Psycho- 
loge Eric Shaw und sein Kol- 
lege Scott Larson stellten ihren 
Ansatz vor, aus der Analyse 
anonymer Droh-E-Mails ein 
psychologisches Profil der Ab- 
sender abzuleiten. Hierzu wer- 
den unter anderem die Häufig- 
keit bestimmter Wortgruppen 
(z. B. Negierungen, Bewertun- 
gen, rhetorische Fragen) sowie 
die Satz- und Absatzstruktur 
herangezogen, um auf psychi- 
sche Eigenschaften und die 
Stimmungslage des Absenders 
zurückzuschließen. Diese Me- 
thode kann etwa dazu dienen, 
Innentäter zu identifizieren, die 
das eigene Unternehmen er- 
pressen. So berichteten die Re- 
ferenten über Fälle, in denen 
Mitarbeiter von Unternehmen 
anhand solcher Profile die Ab- 
sender spontan identifizieren 
konnten. (ur) 
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Mit wenig Geld Telefongespräche abhören 


Von Lauschern 
und Routern 


Tobias Klein 


Wer etwas über Router-Forensik, GSM-Hacking 
oder Webapplikations-Sicherheit erfahren wollte, 
war auf der diesjährigen Black-Hat-Konferenz in 
Amsterdam bestens aufgehoben. 


n seinem Vortrag „Client-side 

Security“ bot Petko D. Petkov 
eine Übersicht über diverse 
Schwachstellen und Probleme 
innerhalb weit verbreiteter 
Client- und Webanwendungen 
wie Skype, Googles Gmail, BT 
Home-Routern sowie Second 
Life. Neben der Skizzierung der 
Schwachstellen gab er ebenfalls 
zu bedenken, dass Browser- 
Rootkits wohl nicht mehr allzu 
lange auf sich warten lassen. 
Heutige Browser verfügen über 
diverse Schnittstellen und Er- 
weiterungsmöglichkeiten, die 
sich geradezu für die Entwick- 
lung solcher Schadsoftware an- 
bieten. 

Dass viele Hersteller von 
Anti-Viren-Produkten sich nicht 
gerade durch sichere Software 
hervortun, ist mittlerweile be- 


kannt. So vergeht kaum ein Mo- 
nat ohne neu veröffentlichte 
Schwachstelle in einem Anti- 
Viren-Produkt. Feng Xue, in 
einschlägigen Kreisen besser 
bekannt unter dem Pseudonym 
Sowhat, vermittelte den Zuhö- 
rern einen Einblick in die An- 
griffspunkte und Möglichkeiten 
zur Entdeckung und Ausnut- 
zung solcher Schwachstellen. 

Chema Alonso und Jose Pa- 
rada Gimeno gingen in ihrem 
Vortrag auf ein Thema der 
Webapplikations-Sicherheit ein, 
das in der Regel recht stiefmüt- 
terlich behandelt wird: LDAP 
Injection. Anhand verschiedener 
Beispiele mit OpenLDAP und 
Microsofts ADAM demons- 
trierten sie eindrucksvoll, wel- 
che Möglichkeiten diese An- 
griffstechnik bietet und dass es 


sich dabei keineswegs um eine 
theoretische Schwachstelle han- 
delt. Prüfen Webapplikationen 
die Eingaben nicht, so lassen 
sich ähnlich wie bei SQL Injec- 
tion vertrauliche Informationen 
auslesen oder Authentifizie- 
rungsmechanismen umgehen. 
Eines der Highlights der 
Konferenz war Felix Lindners 
Vortrag über die Möglichkei- 
ten der forensischen Analyse 
von Cisco-Routern. Lindner 
stellte ein neues Framework 
namens Cisco Information Re- 
trieval (CIR) vor, das in der 
Lage ist, Core Dumps von Cis- 
co Routern einer eingehenden 
Analyse zu unterziehen. Das 
Framework kann die IOS-Pro- 
zessliste, den Hauptspeicher 
sowie die Heap-Strukturen aus 
einem Core Dump rekonstruie- 
ren. Die extrahierten Informa- 
tionen werden anschließend 
verschiedenen automatischen 
Analysen unterzogen. 


Framework 
für Fehlersuche 


Dass man mit dem ursprünglich 
von Sun entwickelten Dtrace 
über mächtige Funktionen zum 
Troubleshooting verfügt, ist 
weitgehend bekannt. Nachdem 
die Funktion ebenfalls in Apples 
aktueller OS-X-Version Einzug 
gefunden hat, nahmen Tiller 
Beauchamp und David Wes- 
ton dies zum Anlass, aufbauend 
auf Dtrace ein Framework na- 
mens RE:Trace zu erstellen, 


das die gezielte Suche nach 
Schwachstellen sowie deren 
Ausnutzung unter Apples Be- 
triebssystem in vielen Berei- 
chen unterstützen soll. 

So prüft die Software, ob das 
IOS-Image modifiziert wurde, 
ob TCL-Hintertüren vorhan- 
den sind oder ob es Anzeichen 
für eine Kompromittierung des 
Heap gibt. Zudem ist das 
Framework in der Lage, die 
sich im Speicher des Routers 
befindlichen Netzwerkpakete 
für eine weitere forensische 
Analyse zu extrahieren (cir.re 
curity-labs.com). 

Ein weiteres Highlight der 
Konferenz war der Vortrag 
„Intercepting GSM Traffic“ 
von David Hulton und „Steve“. 
Nach einer kurzen Erläuterung 
der sich hinter dem GSM-Netz- 
werk verbergenden Technolo- 
gien stellten die beiden eine re- 
lativ kostengünstige Lösung vor 
(circa 900 $), die den verschlüs- 
selten GSM-Netzwerkverkehr 
passiv mitschneiden kann. Da- 
mit nicht genug, erläuterten 
sie anschließend, wie sich die 
im GSM-Netz eingesetzte Ver- 
schlüsselung A5/l knacken 
lässt. Anhand vorberechneter 
Rainbow Tables und eines rund 
2000 $ teuren Equipments sind 
die beiden in der Lage, inner- 
halb von 30 Minuten ein belie- 
biges Telefongespräch zu ent- 
schlüsseln. Investiere man mehr 
Geld in die Hardware, so die 
Referenten, könne der Prozess 
um ein Vielfaches beschleunigt 
werden (wiki.thc.org/gsm). (ur) 


1X 5/2008 


15 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


MARKT + TRENDS 


Diverses 


IX-Kreuzworträtsel: Die Gewinner 


Dass das Lösungswort für das 
IT-Kreuzworträtsel aus Heft 
3/08 „Bundestrojaner“ war, 
haben doch tatsächlich 99 % 
der Teilnehmer herausgefun- 
den. Wir versprechen: Im 
nächsten Jahr wird’s etwas 
schwieriger. 


Gratulieren aber möchten wir 
auf diesem Wege den drei 
ausgelosten Gewinnern eines 
iPod touch: 

Benedikt Burgstaller-Mühlba- 
cher, Rossbach (A) 

Michael Wurzel, Bonn 

Nils Janßen, Burgdorf 


Software bewertet Umweltbelastung 


In den meisten Unternehmen 
hat sich der Drucker- und Ko- 
piergerätepark heterogen über 
Jahre entwickelt, als von Ener- 
gieeffizienz und grüner IT 
noch nicht die Rede war. 

Mit dem „Sustainability 
Calculator“ will Xerox Unter- 
nehmen dabei unterstützen, ih- 
re Dokumente energie- und 
ressourcensparend zu verar- 
beiten. Zunächst beziffert die 
Software die Umweltbelas- 
tung durch vorhandene Dru- 
cker, Kopierer und Multifunk- 
tionsgeräte. 

Kriterien sind dabei der 
Verbrauch von Energie, Pa- 
pier, Wasser und Luft sowie 
die erzeugten Treibhausgase. 
Danach empfiehlt der Nachhal- 
tigkeitsrechner nach Angaben 
von Xerox energie- und res- 
sourcensparende Maßnahmen, 
zum Beispiel den Duplex- 
Druck oder den Austausch 
veralteter Geräte durch Multi- 
funktionssysteme. 


Im Einsatz ist der Rechner 
nach Angaben von Xerox bei 
der Northrop Grumman Cor- 
poration, einem US-amerikani- 
schen Unternehmen, das unter 
anderem Systeme für die 
Schiff-, Luft- und Raumfahrt 
produziert. In einer Abteilung 
reduzierte man die über 2000 
Drucker, Kopierer und Multi- 
funktionssysteme auf 1100 Ge- 
räte, die nun etwa ein Viertel 
weniger Energie verbrauchen 
sollen. 

Eine Vollversion des „Sus- 
tainability Calculator“ will Xe- 
rox demnächst online zur Ver- 
fügung stellen; wann genau, war 
nicht zu erfahren. Auch die 
Kosten bleiben noch im Dun- 
keln. Eine abgespeckte kosten- 
lose Version, bei der man die 
vorhandenen und geplanten 
Werte für seine Gerätschaften 
eingeben muss, findet sich unter 
www.consulting.xerox.com/flash 
/thoughtleaders/suscalc/xerox 
Calc.html. Barbara Lange 


iX-Veranstaltungen 


erenz.de. 


www.iekonf 


Wer noch in den Genuss 
des Frühbucherrabatts für die 
Forensik-Seminare kommen 
möchte, sollte sich beeilen: Nur 
noch bis Ende April kann man 
10 Prozent der Konferenzge- 
bühren sparen. Die Veranstal- 
tungen finden im Juni in Berlin 
und München statt (siehe 
www .ix-konferenz.de): Refe- 
rent ist der bekannte deutsche 
Forensik-Experte Alexander 
Geschonneck. 


Neu hinzugekommen ist die 
Veranstaltungsreihe Software 
entwickeln mit .Net, die im 
Mai und November in Essen 
stattfindet. Es geht um den ge- 
konnten Einsatz von .Net 3.5, 
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C# 3.0 und Visual Studio 2008 
respektive der Vorgänger- 
versionen. Referent ist Holger 
Schwichtenberg, langjähriger 
iX-Autor und auch verantwort- 
lich für die PowerS$hell-Semi- 


nare. 


DR 


Insidern bekannt als 
Betreiber der Site computer- 
forensik.org: Alexander 
Geschonneck, Referent der 
iX-Forensik-Workshops 


iX-Umfrage: 
Notebook wird PC-Ersatz 


Eine knappe Mehrheit sieht beim 
beruflichen Einsatz den Laptop 
als vollwertigen Ersatz für einen 
stationären PC; 31 % der Befrag- 
ten bejahten dies sogar ohne je- 
de Einschränkung, während bei 
19 % eine Docking-Station und 
bei 6% ein genügend großer 
Bildschirm (17") als Vorausset- 
zung genannt wurde. 


Die genauen Ergebnisse der Um- 
frage, die parallel zur Einzelhan- 
delspräsenz von iX 4/08, lief, ist 
der Grafik zu entnehmen. Mit 
Erscheinen dieses Heftes ist auf 


www.ix.de eine Umfrage zum 
Thema Voice over IP zu finden. 


Nutzen Sie beruflich Notebooks als Ersatz für 
stationäre PCs? 

a, einen stationären PC & 

brauche ich nicht mehr. 31% GE 


a, aber nur in Verbindung 
| vo 


mit einer Docking-Station. 


la, aber nur mit mindestens 
17 Zoll großer Bildschirm 6% | 


diagonale. 

2 
ch nutze überhaupt R 
kein Notebook. 10% 1] 


Gesamtstimmen: 980 (gerundet) 


ch nutze Notebooks 
nur unterwegs. 


IBM-Förderprogramm für Studenten 


Im Rahmen seines internatio- 
nalen Förderungsprogramms 
„Extreme Blue“ will IBM Stu- 
denten in seinen Entwicklungs- 
zentren eigenständige Projekte 
durchführen lassen. In einem 
zehnwöchigen Praktikum unter 
Anleitung internationaler Ex- 
perten des Hauses bilden je 
vier Studenten ein Team, das 
an Themen wie hybride Syste- 
me, Verbindung zwischen rea- 
ler und virtueller Welt, Work- 
load-Management und Green 
Computing arbeitet. 

Die auf sechs europäische 
Forschungs- und Entwick- 
lungszentren verteilten Teams 
treffen sich am Ende des Prak- 


Partnerschaft: Die Software 
für die Leistungsverrechnung 
virtueller Systeme von Xentro 
hielt Einzug in das Infrastruc- 
ture Center (IC) for VMware 
ESX der MysofilT. Sie ver- 
rechnet unterschiedliche Kos- 
tenarten pro Host oder Gast- 
system, verteilt Gemeinkosten 
auf Kostenstellen oder erstellt 
Simulationen für definierte 
Abrechnungsperioden. Beide 
Firmen, die auch Technology 
Alliance Partner von VMware 
sind, schlossen eine wechsel- 
seitige OEM-Partnerschaft. 


Aufgekauft: Mit der Über- 
nahme der Infra Corporation 
baut EMC das Portfolio im 
Bereich des IT-Servicema- 
nagements (ITSM) aus. EMC 


tikums zur Präsentation der 
Ergebnisse ihrer Arbeit im 
Herbst 2008 bei der Extreme 
Blue Expo in Böblingen. Letz- 
tes Jahr fand die Veranstaltung 
in Hursley, UK, statt. Mit dem 
Förderprogramm will Big Blue 
Studierende aus den Fachberei- 
chen Informatik, Wirtschaftsin- 
formatik, Elektrotechnik, Phy- 
sik und angrenzenden Gebiete 
ansprechen, um technische 
Nachwuchskräfte zu gewin- 
nen. Interessierte können sich 
bis zum 30. April 2008 anmel- 
den. Das Praktikum selbst be- 
ginnt am 21. Juli 2008 und 
dauert bis zum September. 
Nikolai Zotow 


will die akquirierte Firma in 
seine Ressource Management 
Software Group (RMSG) ein- 
gliedern. Infra bietet mit In- 
fraenterprise eine ITIL-verifi- 
zierte Webanwendung an, mit 
der Unternehmen Service- 
management-Prozesse unter- 
nehmensweit automatisieren 
können. 


Gemessen: NTT Europe On- 
line, ein Anbieter von Hos- 
ting-Services, und Keynote 
Systems wollen in Europa 
zusammenarbeiten. NTT Eu- 
rope Online stellt den eige- 
nen Kunden den Service zur 
Web-Performance-Analyse 
von Keynote zur Verfügung. 
Das Unternehmen unterhält 
rund 2400 Messcomputer 
und mobile Endgeräte in 
über 240 Standorten und 
mehr als 160 Stadtgebieten 
weltweit. 
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Systeme 


x10sure: Wenn der andere einspringt 


Bereits vor Jahresfrist hatte Fu- 
Jitsu Siemens Computers (FSC) 
mit x10sure ein einfaches 
Hochverfügbarkeitskonzept für 
kleine und mittelgroße Unter- 
nehmen vorgestellt. Nun hat die 
zunächst für Windows auf Pri- 
mergy-Blade- oder Standard- 
server positionierte Lösung in 
der Version 2.0 die VMware- 
Unterstützung bekommen. 

X10sure, im Grunde eine 
abgestrippte Variante des auf 
RZ-Infrastrukturen ausgerich- 
teten ASCC (Adaptive Ser- 
vices Control Center), dient 
der Überwachung kleinerer 
Server-Verbände und stößt bei 
Ausfall eines Servers automa- 
tisch den Neustart eines Er- 
satzservers (Spare-Server) an, 
der sein Boot-Image über ein 
iSCSI- oder FC-SAN bezieht. 
Der Ausfallschutz in einem 
solchen n+l-Konzept lässt 
sich zwangsläufig kostengüns- 
tiger realisieren als eine Fail- 
over-Lösung oder ein hoch- 
verfügbares Cluster mit einer 
doppelt angelegten Server- 
zahl. Diesen Preisvorteil „er- 
kauft“ man sich allerdings mit 
einer im Vergleich zum Clus- 
ter etwas längeren mehrminü- 
tigen Anlaufdauer. Für die 
meisten Anwendungsfälle ist 
dieser Grad an Ausfallschutz 
ausreichend. 


Zum Erstellen bootfähiger 
Server-Images kann man etwa 
auf die Serverview-Manage- 
mentsuite der Primergy-Ser- 
ver zurückgreifen. x1Osure 
überwacht die Serverfarm per 
ICMP, Agenten benötigt es 
nicht. Stellt es den Ausfall eines 
Produktiv-Servers fest, weist es 
die LUN des ausgefallenen Ser- 
vers dem Ersatz-Server zu, der 
damit bootet und dessen Iden- 
tität übernimmt. Hierzu müs- 
sen aber alle beteiligten Server 
(Compute Nodes) über identi- 
sche Hardware und Konfigu- 
rationen verfügen. Die als 
RPM-Paket verfügbare Steue- 
rungs- und Überwachungssoft- 
ware x10sure basiert auf Suse 
Linux (SLES 9) und ist jenseits 
der Produktiv- und Ersatzserver 
auf einem Kontrollserver behei- 
matet. Voraussetzung: Die Ser- 
ver müssen sich im selben Netz 
befinden. Der jeweilige Status 
lässt sich über ein Java-basier- 
tes GUI verfolgen. 

Eine offizielle Linux-Unter- 
stützung — bislang nur auf Pro- 
jektbasis existent - ist in Vorbe- 
reitung, ebenso die Erweiterung 
des N+1-Konzepts auf N+M. 
FSC vermarktet x10sure aus- 
schließlich über Partner. Der 
Preis der kleinsten Version für 
fünf Server liegt bei knapp 
10 000 Euro. Achim Born 


Cray kratzt an der Petaflop-Grenze 


An der Universität von Tennes- 
see (www.tennessee.edu) wird 
Cray — nach eigenem Ver- 
ständnis und nicht ganz zu 
Unrecht „die“ Supercomputer- 
Firma — einen neuen Super- 
rechner installieren, dessen 
Spitzenleistung nah an der Pe- 
taflop-Grenze liegen soll. Da- 
mit wäre dem Unternehmen 
nach langer Zeit wieder ein 
Spitzenplatz in der Top500-Lis- 
te (www.top500.org) sicher. 
Als ersten Schritt wird 
Cray noch in diesem Jahr ei- 
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nen XT4-Supercomputer in- 
stallieren (www.cray.com/pro 
ducts/xt4/index.htm]). 2009 soll 
die zweite Ausbauphase statt- 
finden, die die Rechenleistung 
auf nahezu 1 Teraflop/s kata- 
pultiert. 

Der massiv-parallele Super- 
rechner (MPP) besteht aus ein- 
zelnen Rechenknoten (Proces- 
sing Elements, kurz PE) mit je 
einem AMD-Opteron-Prozes- 
sor sowie 1 bis 8 GByte RAM. 
In Tennessee setzt Cray zu- 
nächst die neuen Quad-Core- 
CPUs Barcelona ein. 

Als Einsatzgebiete planen 
die Betreiber unter anderem die 
Wetter- und Klimaforschung — 
Tornado-Vorhersage und die 
Untersuchung langfristiger Kli- 
maveränderungen stehen auf 
dem Programm. Außerdem soll 
der Supercomputer die Entste- 
hung von Supernovae und die 
Entwicklung von Galaxien 
modellieren. 


Suns Niagara-2-Server mit 2 und 4 Sockeln 


Ein gutes halbes Jahr nach der 
Einführung der Server mit 
Ultrasparc-T2-Prozessoren (Ni- 
agara 2) bringt Sun die ersten 
Systeme mit der Multiprozes- 
sorversion der 8-Kern-CPU 
(Codename Viktoria Falls) auf 
den Markt. Die offiziell Ultra- 
sparc T2 Plus getauften Prozes- 
soren beherrschen anders als 
die Ein-Sockel-Variante ein 
Cache-Kohärenz-Protokoll und 
können daher zu zweit oder zu 
viert in einem System werkeln. 
Alles andere bleibt beim Alten: 
Die CPUs besitzen acht Kerne 
mit Hardware-Unterstützung 
für 64 Threads, acht FPUs 
(Floating Point Units), acht 
Krypto-Koprozessoren, vier 
zweikanalige FB-DIMM-Con- 
troller, zweimal 10 Gigabit 
Ethernet und einem PCI-Ex- 
press-Controller mit acht Lanes. 

Eröffnen werden den Rei- 
gen der neuen T2-Enterprise- 
Systeme die Modelle T5140 
mit einer Höheneinheit und die 


T5240 mit zweien. Während 
sich die T5140 nur durch die 
zwei CPUs von der Single-So- 
ckel-Variante T5120 unter- 
scheidet, hat die T5240 außer 
einem zweitem Prozessor Ein- 
schübe für nunmehr 16 2,5"- 
SAS-Platten mit je 146 GByte 
und ein Erweiterungsboard für 
insgesamt 128 Gbyte RAM be- 
kommen. Mit dieser Ausstat- 
tung unterstützt das System 128 
LDOMs (Logical Domains) 
mit je eigenen Betriebssystem- 
Instanzen. Der Hypervisor ist 
ebenso integriert wie die Hard- 
ware-Verschlüsselung und das 
ILOM (Integrated Lights Out 
Management). 

Auch wenn Sun die Server 
am liebsten unter Solaris laufen 
sieht, unterstützen auch Ubun- 
tu 7.04 Sparc und FreeBSD 
Sparc/64 die Niagara-Systeme. 
Blade-Server sollen in naher 
Zukunft folgen, für den Som- 
mer sind die ersten Vier-So- 
ckel-Systeme zu erwarten. 


Aus System p und i wird Power Systems 


IBM will seine beiden Server- 
Linien System i und System p 
zu den neuen Power Systems 
zusammenführen. Die nun- 
mehr vollständig vereinheit- 
lichte Familie von AIX-, Li- 
nux- und i5/OS-Servern bildet 
anlässlich der Einführung der 
neuen Power6-Prozessoren den 
Abschluss einer Entwicklung, 
die mit dem Wechsel auf die 
RISC-Prozessorfamilie bei der 
AS/400 im Jahr 1995 ihren 
Anfang nahm. Auch das Be- 
triebssystem i5/OS (früher 
OS/400), das auf allen neuen 
Power-Modellen läuft, will Big 
Blue ein weiteres Mal umbe- 
nennen; es heißt nun „IBM i 
Betriebssystem“ oder schlicht 
und ergreifend „i“. 

Nachdem bereits das p-Mo- 
dell 570 und die Power6-Blade 
JS22 unter i5/OS R6V 1 lauffä- 
hig waren, sollen nun die Sys- 
teme p550 und p520 sowie die 
kleinere Blade JS21 als erste 
Vertreter der vereinten Power- 
Systems-Familie unter AIX, 
Linux und i laufen. 

Zudem führt IBM zwei 
neue Systeme ein. Den Power 
595 mit 32 Dwual-Core-Po- 
wer6-CPUs vermarktet IBM 
als Unix-Server — vorerst un- 
ter AIX; Linux und i sollen im 
vierten Quartal 2008 folgen. 


Als wassergekühlten Super- 
computer mit AIX oder Linux 
stellt IBM außerdem den Po- 
wer 575 vor. Die Hydro-Clus- 
ter genannte Wasserkühlung 
führt die Kühlflüssigkeit durch 
auf den Prozessoren ange- 
brachte Kupferplatten zu ei- 
nem ins Rack integrierten 
Wasser-Wärmetauscher. Die 
Dual-Core-CPUs konnte Big 
Blue dadurch auf 5 GHz 
hochtakten. Zudem lassen 
sich dadurch 224 CPUs und 
3,5 TByte Arbeitsspeicher — 
verteilt auf 14 Knoten - in ei- 
nem Rack unterbringen. Jeder 
Knoten soll mit seinen 16 
CPUs und 256 GByte RAM 
600 GFLOPS erreichen. Bei- 
de Systeme sollen am 6. Mai 
verfügbar sein. 

Von der Umstrukturierung 
der Server-Familien ver- 
spricht sich IBM vor allem ei- 
ne vereinfachte Preisgestal- 
tung — für System-i-Kunden 
seien die Hardware- und War- 
tungskosten damit auf dem 
deutlich niedrigeren Niveau 
der Unix- respektive Linux- 
Systeme angekommen. Zu- 
dem erhöht sich die Zahl der 
darauf unter i, AIX oder Li- 
nux lauffähigen Applikatio- 
nen auf über 15 000. 

Berthold Wesseler/sun 
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Verschiedenes 


Geschluckt: Nimsoft hat In- 
dicative Software gekauft. 
Mit diesem Schritt erweitert 
der Anbieter von Service-Le- 
vel-Managementlösungen 
sein Portfolio um Kompo- 
nenten für Business Service 
Management (BSM) und um 
Funktionen für die Überwa- 
chung von Antwortzeiten. 
Die Indicative-Tools bieten 
unter anderem Funktionen 
zur Service-Modellierung, 
zum Echtzeit-Monitoring be- 
nutzerseitiger Antwortzeiten 
sowie zur Analyse von J2EE- 
und .Net-Anwendungen. 


Aufkauf: Red Hat baut die 
Beratungssparte mit der 
Übernahme von Amentra 
aus. Das Unternehmen ver- 
fügt unter anderem über 
Know-how für die Jboss- 
Middleware. Amentra soll 
künftig als unabhängige 
Red-Hat-Tochter seine Ge- 
schäfte betreiben. 


Büroarbeiter: Mit etwas 
Verspätung steht jetzt mit 
Openoffice 2.4 eine überar- 
beitete Version des Office-Pa- 
ketes für Linux, Solaris und 
Windows zum Download be- 
reit. Neben vielen Detailver- 
besserungen sind neu unter 
anderem die Option, Doku- 
mente im PDF/A-Standard für 
die Langzeitarchivierung zu 
speichern, relative Pfade für 
Links in PDF-Dateien, Ver- 
schlüsselung von Kennwör- 
tern durch ein Master-Pass- 
wort oder — derzeit nur für die 
Linux-Version — 3D-Anima- 
tionen bei Folienwechseln im 
Präsentationsmodul Calc. 


Megatrend: Virtualisierung 
wird nach Ansicht der US-Be- 
ratung Gartner bis 2012 den 
größten Einfluss auf die Ent- 
wicklung der IT haben. Den 
Beratern zufolge hat die Virtu- 
alisierung bereits jetzt Spuren 
im Servermarkt hinterlassen. 
Beispielsweise soll sie den 
Absatz von x86-Servern um 
4% gedrückt haben. 2009 sol- 
len laut Gartner-Prognose 
mehr als 4 Mio. virtuelle Ser- 
ver auf x86-Maschinen laufen. 
Die Zahl virtualisierter PCs 
soll von weniger als 5 Mio. im 
vergangenen Jahr bis 2011 auf 
rund 660 Mio. hochschnellen. 
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Verbessert: Lufthansa Sys- 
tems konnte im Geschäfts- 
jahr 2007 die Einnahmen um 
4,1 % auf 679 Mio. € stei- 
gern. Dabei betrug der Um- 
satzanteil mit Kunden 
außerhalb der Muttergesell- 
schaft 41 %. Das operative 
Ergebniss hat sich mit 23 
Mio. € allerdings halbiert. 


Großer Knoten: DE-CKX, 
der Internet-Austauschknoten 
in Frankfurt/M. (www.de-cix. 
net), baut derzeit seine Infra- 
struktur aus und wird damit 
nach eigenen Angaben zum 
weltweit größten Peering- 
Knotenpunkt für Internetpro- 
vider. Die bisher installierte 
Kapazität von 350 Gbit/s 
reichte bereits für Rang zwei. 
Die Umstellung auf eine 
sternförmige Topologie soll 
Mitte Juni abgeschlossen sein 
und dem DE-CIX einen Da- 
tenumsatz von 1,4 Tbit/s er- 
möglichen. Laut Betreiberin, 
der DE-CIX Management 
GmbH, erfordert besonders 
das starke Wachstum des ost- 
europäischen Breitband- 
Markts einen Ausbau. So ha- 
be sich der Internet- Verkehr 
bei DE-CIX im vergangen 
Jahr verdreifacht, während er 
sich weltweit im selben Zei- 
traum „nur“ verdoppelte. 


Aufgebohrt: Das Linux 
Professional Institute (LPI, 
www .lpi.org) arbeitet an einer 
Security-Prüfung als Erweite- 
rung des „Enterprise Level“ 
(LPIC3) seiner Linux-Zertifi- 
zierungsserie. Nach derzeiti- 
ger Planung sollen Bewerber 
ab Ende Februar 2009 die 
Prüfung „Security“ (LPI-303) 
ablegen können. 


RFID-Umfrage: Noch bis 
zum 25. April haben Interes- 
sierte die Möglichkeit, zu ei- 
nem Empfehlungsentwurf für 
den EU-Rat und das Parla- 
ment Stellung zu nehmen. 
Themen sind vor allem Da- 
tenschutz sowie Risiken für 
Privatsphäre und Sicherheit 
im Zusammenhang mit 
RFID. Da mit der Annahme 
des Entwurfs im Sommer 
2008 zu rechnen ist, ruft der 
in Sachen Datenschutz enga- 
gierte Verein Foebud zur 
Teilnahme an der öffent- 
lichen Kommentierung auf 
(erreichbar via iX-Link). 


€ X0805020 


Schadensersatz nach Datenschutzgesetz 


Obwohl ein Österreicher Wider- 
spruch gegen eine fälschlicher- 
weise zugesandte Rechnung 
über 100 Euro eingelegt hatte, 
listete ihn der Rechnungsstel- 
ler in einer Bonitätsdatenbank. 
Daraufhin wurde ihm der Ab- 
schluss eines Mobilfunkver- 
trages verwehrt. Das Landes- 
gericht für Zivilsachen in 
Wien (Az. 53 Cg 106/07h) hat 


dem Betroffenen nun Scha- 
densersatz in Höhe von 750 
Euro zugesprochen. Damit 
gab es erstmalig immateriellen 
Schadensersatz nach dem ös- 
terreichischen Datenschutzge- 
setz 2000. Hierauf hat Hans 
Zeger, Vorstand der österrei- 
chischen Gesellschaft für Da- 
tenschutz, hingewiesen. 
Tobias Haar 


Google buhlt um Webentwickler 


Unter dem Namen App Engine 
öffnet Google die eigene Ser- 
ver-Infrastruktur und Entwick- 
lungsumgebung. Programmie- 
rer können zukünftig den 
neuen Service zum Hosten ei- 
gener Applikationen nutzen. 
Sie müssen sich im Grunde nur 
festlegen, welche URLs ge- 
nutzt werden, mit welchen Pro- 
grammen sie verbunden sind 
und im Anschluss ihre Anwen- 
dung aufspielen. Das Zuordnen 
von Ressourcen, Skalieren 
oder die Lastverteilung soll 
App Engine übernehmen. Der 
Service umfasst unter anderem 
einen Datenspeicher einschließ- 
lich Abfrageumgebung und 
Transaktionsverarbeitung sowie 
Anwendungsschnittstellen zur 
Authentifizierung der Anwen- 
der und zum E-Mail-Versand 
über Google-Accounts. Des 
Weiteren gibt es eine lokale 
Entwicklungsumgebung, die 
App Engine auf dem eigenen 
System simuliert. 

Derzeit unterstützt App En- 
gine allein eine Betriebsumge- 
bung, die auf der Skriptsprache 
Python (Version 2.5.2) beruht. 
Es steht hier zwar im Prinzip 
die Standardbibliothek ein- 
schließlich eines einfachen 
Web Application Framework 
(Webapp) bereit. Die Entwick- 
ler müssen allerdings mit eini- 
gen Einschränkungen leben. 
So sind einige Module der Py- 
thon-Standardbibliothek un- 
brauchbar, da die Laufzeitum- 
gebung sie nicht unterstützt. 
Programme, die diese Module 
nutzen, verursachen deshalb 
ebenso eine Fehlermeldung 
wie Anwendungen mit Be- 
standteilen in C. Sorgfalt erfor- 
dert ebenso das in App Engine 
enthaltene Web Application 
Framework Django (Version 
0.96.1). Denn manche Kompo- 
nenten setzen hier eine relatio- 


nale Datenbank voraus, die 
App Engines Datastore nun 
einmal nicht bietet. Wie lange 
Entwickler mit diesen Be- 
schränkungen leben müssen, 
ist nicht bekannt. Zumindest 
verspricht Google, künftig 
weitere Programmiersprachen 
und Runtime-Konfigurationen 
unterstützen zu wollen. 

Google ist mit der Öffnung 
der Entwicklungsumgebungen 
und -dienste über das Web für 
die Allgemeinheit nicht alleine 
im Markt. Anders als konkur- 
rierende Angebote etwa von 
Amazon und Salesforce soll 
die App Engine in der Basis- 
version allerdings gratis sein. 
Sie umfasst 500 MByte Spei- 
cherplatz, 10 GByte an tägli- 
chem Traffic und genug Re- 
chenleistung für 5 Mio. Page 
Views pro Monat. Details zu 
kostenpflichtigen Versionen 
gibt es derzeit nicht. Die zum 
Start von App Engine bereit- 
gestellten 10 000 freien Ac- 
counts sind bereits belegt. 
Weitere Interessenten kommen 
auf eine Warteliste. 

Über das Motiv von Goo- 
gle, die eigenen Ressourcen 
freizugeben, gibt es derzeit 
heftige Spekulationen. Für ei- 
nige Marktbeobachter ist es 
einfach der Versuch, die Wer- 
beprogramme Adsense und 
Adwords auf eine noch breite- 
re Basis zu stellen. Andere er- 
kennen eher das Bemühen, auf 
diese Weise sehr viel schneller 
Innovationen im Webmarkt er- 
kennen, aufkaufen und schließ- 
lich aufgrund der gemeinsa- 
men Entwicklungsumgebung 
auf einfache Weise in das eige- 
ne Angebot integrieren zu kön- 
nen. Auf diese Weise ließe sich 
zumindest indirekt ein wenig 
des Start-up-Geistes zurückge- 
winnen, der Google einst aus- 
zeichnete. Achim Born 
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Datenschützer fordern Respekt vor Grundrechten 


„Wir brauchen eine neue Da- 
tenschutzkultur“ forderte Peter 
Schaar anlässlich der 75. Kon- 
ferenz der Datenschutzbeauf- 
tragten des Bundes und der 
Länder. Denn Regelungen 
zum Großen Lauschangriff, 
zur Telekommunikationsüber- 
wachung, zur Onlinedurchsu- 
chung et cetera, so der Bundes- 
datenschutzbeauftragte weiter, 
„haben die verfassungsrechtlich 
zwingende Balance zwischen 
Sicherheitsbefugnissen der 
staatlichen Behörden und per- 
sönlicher Freiheit der Bürge- 
rinnen und Bürger missachtet“. 
Das Bundesverfassungsgericht 
habe mit seinen Entscheidun- 
gen diese Balance wiederher- 
gestellt und den Forderungen 
der Datenschützer Rechnung 
getragen. 

Die Konferenz befasste sich 
unter anderem mit den Auswir- 
kungen des BVerfG-Urteils zu 
heimlichen Onlinedurchsuchun- 
gen. Das gerichtlich festgestell- 
te Grundrecht auf Gewährleis- 
tung der Vertraulichkeit und 
Integrität informationstechni- 
scher Systeme nehme auch den 


10GE-Adapter für 
Twisted-Pair-Kabel 


SMC (www.smce.de) hat den 
nach eigenen Angaben ersten 
Ethernet-Adapter für 1OGE über 
Twisted-Pair-Kabel (10GBase- 
T) auf den Markt gebracht. Der 
SMC10GPCle-10BT genügt 
dem IEEE-Standard 802.3an. 
Sein Vetter SMC10GPCle- 
XFP arbeitet mit steckbaren 
XFP-Transceivern (10 Giga- 
bit Small Form Factor Plug- 
gable) für Kurz- (SR, bis 
300 m) und Langstrecken 
(LR, bis 10 km). 
Prüfsummengeneratoren und 
-checker sowie eine TCP Seg- 
mentation Offload (TSO) En- 
gine entlasten die Prozessoren 
des Rechners. Virtualisierten 
Betriebssystemen stellen die 
Adapter bis zu 4096 virtuelle 
Netzwerkkarten (VNICs) be- 
reit. Die PClIe-x8-Steckkarten 
sind für 1299 € (Twisted 
Pair) beziehungsweise 789 € 
(XFP-Version ohne Transcei- 
ver) erhältlich. Geeignete 
Treiber gibt es für Windows 
Server 2003/2008 und Vista, 
Opensolaris und Linux - 
Letztere auch als Quelltext. 
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Staat in die Verantwortung, sich 
aktiv dafür einzusetzen und 
Bürgerinnen und Bürger vor 
„elektronischer Ausforschung“ 
zu schützen, so die Daten- 
schützer. 

Kurz vor der Konferenz 
hatte der Berliner Daten- 
schutzbeauftragte seinen Jah- 
resbericht veröffentlicht. Der 


Einsatz des Internet, so Ale- 
xander Dix, „muss aus gutem 
Grund anonym und unbeob- 
achtbar möglich sein“, denn 
die ungehinderte Nutzung von 
Webangeboten sei Bestandteil 
einer freiheitlichen Gesell- 
schaft. Weitere Themen sind 
Voice over IP, biometrische 
Authentifizierung, Datenschutz 


bei Berliner Banken und der 
von Datenschützern mit Arg- 
wohn betrachteten Entwurf zur 
Änderung des BKA-Gesetzes. 
Der Bericht und alle Veröf- 
fentlichungen zur Datenschutz- 
konferenz sind via iX-Link on- 
line abzurufen. 


(Eixog05020 
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MARKT + TRENDS 


Linux 


Open Source bald überall 


In der Vergangenheit fielen die 
Analysen von Gartner oft durch 
ihre kritische Haltung gegenüber 
freier Software auf. Jetzt be- 
fragten die Marktforscher über 
50 Analysten diverser Industrie- 
bereiche zu ihrer Einschätzung 
über Open-Source-Software 
(OSS). Die Ergebnisse fasste 
man in vier Voraussagen für die 
kommenden Jahre zusammen. 
www ..gartner.com/DisplayDo 
cument?id=638643 &ref=g_site 
link liefert weitere Details. 

Bis 2011 werde OSS bei 
Cloud-Providern die Software- 
Infrastruktur dominieren. Die- 
se würden in ihren Rechenzen- 
tren zur Kostenreduzierung in 
Eigenverantwortung gepflegte, 
das heißt, ohne auf kommer- 
zielle Angebote großer Distri- 
butoren zuzugreifen, Linux- 
Umgebungen einsetzen und so 
die Lizenzkosten eliminieren. 

Bis 2012 würden auch die 
SaaS-Anbieter auf den Einsatz 
von OSS als bevorzugte Metho- 
de zur Kostensenkung um- 
schwenken. Zum einen sei der 


SaaS- ebenso wie der OSS- 
Markt ein Segment mit kleinen 
Margen, und zum anderen wür- 
den sich die Provider mit OSS 
die nötige Unabhängigkeit si- 
chern, um schnell auf Verände- 
rungen reagieren zu können. 
Auch die dritte Vorhersage be- 
trifft 2012: In diesem Jahr wer- 
den über 90 % aller Unterneh- 
men OSS einsetzen — entweder 
direkt oder in eingebetteter 
Form. Mit dieser Ansage zollt 
Gartner dem OSS-Boom im 
Embedded-Bereich Respekt. 

Schließlich prophezeien die 
Marktforscher, dass für den 
Großteil der Linux-Lösungen 
die TCO-Vorteile bis 2013 fak- 
tisch auf Null sinken werden. 
Das liege unter anderem daran, 
dass mit der Professionalisie- 
rung und dem Wachstum der 
IT-Umgebungen der Anteil von 
Anwendungen wie Datenban- 
ken, Systemmanagement-Tools 
oder Hochverfügbarkeitssoft- 
ware zulegen werde, die aber 
wie heute überwiegend proprie- 
tär lizenziert würden. 


Wer den Linux-Code schrieb 


In akribischer Arbeit haben Ker- 
nel-Entwickler Greg Kroah- 
Hartman von den Suse Labs, 
LWN-Redakteur Jonathan Cor- 
bet und Amanda McPherson 
von der Linux Foundation die 
Veränderungen am Linux-Ker- 
nel von Version 2.6.11 bis zu 
2.6.24 untersucht und analysiert, 
wer in welchem Umfang zum 
Linux-Kernel beigetragen hat. 
Bei inzwischen fast neun Milli- 
onen Zeilen (2.6.24) Code flie- 
ßen in den rund 80 Tagen von 
einer zur nächsten Release 
knapp 10 000 Patches in die 
Kernel-Quellen ein. Im betrach- 
teten Zeitraum haben fast 3700 
Entwickler eine oder mehrere 
Änderungen beigetragen. Die 
Ergebnisse widerlegen — zumin- 
dest für den Kernel - den My- 
thos, Linux sei ein von Hobby- 


Wartungs-Release: Die 
Verbesserungen der jetzt ver- 
öffentlichten KDE-Version 
4.0.3 betreffen neben vielen 
Polierarbeiten die KDE- 


isten getragenes Projekt. Nur 
rund ein Viertel der Änderun- 
gen stammen von unabhängigen 
Programmierern, der Rest ar- 
beitet bei Firmen an der Linux- 
Entwicklung mit. Bei den fir- 
menbezogenen Anteilen liegt 
Red Hat mit 11,2 % vorn, ge- 
folgt von Novell (8,9 %), IBM 
(8,3 %) und Intel (4,1 %). 
Detaillierte Ergebnisse der 
Untersuchung finden sich unter 
www linux-foundation.org/pu 
blications/linuxkerneldevelop 
ment.php. Die Linux Founda- 
tion ist Anfang 2007 aus einer 
Fusion der Free Standards 
Group und den Open Source 
Development Labs hervorge- 
gangen und unter anderem 
Brötchengeber von Linus Tor- 
valds und einer Reihe weiterer 
Kernel-Entwickler. 


HTML-Rendering-Engine 
KHTML, den Window-Ma- 
nager KWin sowie den Do- 
kumentenbetrachter Okular. 
Darüber hinaus verschafft ein 
KIO-Plug-in aus den Extra- 
gear-Paketen allen KDE-An- 
wendungen Unterstützung 
für das Gopher-Protokoll. 
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MARKT + TRENDS 


Beruf 


Großstädte sind lukrative Standorte 


Arbeitsort und Branche beein- 
flussen in entscheidendem 
Maß die Höhe der Vergütung. 
Zu dieser nicht neuen Er- 
kenntnis kommt eine Untersu- 
chung der Gummersbacher Un- 
ternehmensberatung Kienbaum. 
Beispielsweise verdient ein 
Münchner Ingenieur in einer 
Führungsposition durchschnitt- 
lich 117 800 Euro im Jahr, 
während Berufskollegen in 
Leipzig lediglich auf 70 300 Eu- 
ro kommen. Tendenziell wer- 
den in Großstädten und Bal- 
lungszentren wie München, 


Düsseldorf, Frankfurt/Main und 
Köln die höchsten Gehälter 
gezahlt. Im ländlichen Raum 
und in Ostdeutschland fällt die 
Vergütung am geringsten aus. 
IT-Führungskräfte verdienen 
wiederum in Nordrhein-West- 
falen am besten. Eine Füh- 
rungskraft aus Düsseldorf 
(Jahresgesamtbezüge: 131 000 
Euro) hat in der Regel ein 
Viertel mehr im Portemonnaie 
als der Durchschnitt. Ein Köl- 
ner IT-Spezialist (121 000 Eu- 
ro) streicht über 15 % mehr 
Gehalt ein. 


IT-Fachkräfte: Mangel allerorten 


Fehlende IT-Spezialisten sind 
kein ausschließlich deutsches 
Phänomen, so die Einwan- 
derungsbehörde Immigration 
New Zealand und der Personal- 
dienstleister Hudson Recruit- 
ment auf der diesjährigen Cebit. 
Arbeitsbedingungen und Ver- 
dienstmöglichkeiten in Neusee- 
land sind durchaus konkurrenz- 
fähig. Das Gehaltsniveau für 
Java-Programmierer beträgt 
laut Hudson-Statistik pro Jahr 
zwischen 55 000 NZD (neu- 
seeländische Dollar, ungefähr 
0,50 €) für einen Juniorent- 
wickler und 140 000 NZD für 


einen J2EE-Architekten. Ora- 
cle-Administratoren streichen 
je nach Erfahrung zwischen 
65 000 NZD und 120 000 NZD 
ein. Projekt-Manager verdie- 
nen zwischen 80 000 NZD und 
125000 NZD. Wer zwischen 18 
und 30 Jahre ist, kann im Rah- 
men des Working Holiday-Pro- 
gramms erste Eindrücke zum 
Arbeiten und Leben am ande- 
ren Ende der Welt gewinnen. 
Unter www .immigration.govt. 
nz gibt es nähere Informationen 
zu diesem Programm und zu 
den Einwanderungsbedingun- 
gen allgemein. 


IGM rät, Arbeitsverträge zu prüfen 


Die IG Metall empfiehlt Be- 
rufsanfängern, genau auf die 
Gehaltsdetails wie Anzahl der 
Monatsgehälter, Arbeitszeit 
und Zulagen zu achten. Laut 
Gewerkschaftsstatistik liegen 
Einstiegsgehälter innerhalb ei- 
ner großen Bandbreite. Bei- 
spielsweise kann das Salär für 
einen Informatiker mit Diplom- 


Mangel: Die Hälfte der im 
VDE organisierten Unterneh- 
men befürchtet einen anhal- 
tenden Mangel an Elektro- 
und IT-Ingenieuren. Die circa 
9600 Hochschulabsolventen 
der Elektrotechnik werden 
nach Ansicht von Verbands- 
vertretern den Fachkräfte-Be- 
darf der deutschen Wirtschaft 
nicht annähernd decken kön- 
nen. Auch in Forschung und 
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oder Masterabschluss zwischen 
39 000 Euro und 50 300 Euro 
betragen. Mit 33 500 Euro 
und 47 500 Euro fällt die 
Spreizung für Absolventen 
von Bachelor-Studiengängen 
noch größer aus. Absolventen 
von Fachhochschulen erhalten 
zwischen 38 300 Euro und 
42 000 Euro. 


Lehre soll der Nachwuchs- 
mangel mittlerweile zu spü- 
ren sein. 


Studiengang: In Bremen 
wurde der Bachelor-Studien- 
gang Informationstechnische 
Systeme (BITS) gegründet. 
Der Studiengang befasst sich 
mit den informationstechni- 
schen Aspekten der Elektro- 
technik und löst den Studien- 
schwerpunkt IT des bisherigen 
Diplom-Studienganges 
Elektrotechnik ab. Bewer- 
bungsschluss ist der 15. Juli. 
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Hardware 


Erste Barcelona-Server in Sicht 


Spanischer Reigen 


Susanne Nolte 


„Erster!” konnte diesmal HP rufen: Auf der „HP Technology@Work 2008" in 
Barcelona hatte Hewlett-Packard mit dem Proliant DL785 G5 den ersten 8-Sockel- 
Server mit fehlerfreien Opteron-Quad-Core-Prozessoren (Barcelona) vorgestellt. 
Andere Hersteller hingegen lassen sich noch Zeit. 


achdem ein Bug im TLB 

(Translation Lookaside 
Buffer) die Opteron-Serien- 
produktion bei AMD über 
Monate verzögert hat, sollen 
die CPUs im fehlerbereinig- 
ten B3-Stepping im Mai in 
größeren Stückzahlen verfüg- 
bar sein. 

Nun traut sich HP als Ers- 
ter, seine neue Servergenera- 
tion mit den Quad-Core-CPUs 
von AMD anzukündigen. Das 
Flaggschiff bildet der Acht- 
Sockel-Server für Opteron- 
CPUs der 8300er-Serie. Als 
einziges Modell nennt HP mo- 
mentan den Opteron 8354 mit 
2,2 GHz. Mit den derzeitigen 
4-GByte-DDR2-RAM-Modu- 
len kommt man auf bis zu 256 
GByte, mit den noch ausste- 
henden 8-GByte-DIMMs auf 
512 GByte Hauptspeicher. 
Die Festplattenkapazität be- 
trägt bei 16 SAS-Festplatten 
(8 Standard und 8 optional) 
maximal 2,3 TByte. Da HP den 
Server besonders zum Einsatz 
in Virtualisierungsumgebungen 


anbietet, sind 11 PCIe-Steck- 
plätze vorgesehen. Auf das 
zweite Halbjahr müssen dieje- 
nigen warten, die statt der elf 
PCle-Slots sieben PCIe- und 
zwei HTx-Steckplätze haben 
wollen. 


HP goes Solaris 


Zertifiziert ist das System für 
Microsoft Virtual Server, Ora- 
cle VM und VMware ESX; es 
unterstützt die Betriebssyste- 
me RHEL, SLES, Windows 
2003 Server und Solaris. Letz- 
teres will HP in Zukunft inten- 
siver bewerben, da der Herstel- 
ler verstärkt in Suns Revieren 
wildern will. Der DL785 
kommt serienmäßig mit den 
schon von anderen Proliant-Ser- 
vern bekannten Management- 
werkzeugen HP Systems In- 
sight Manager, HP Insight 
Control, HP Integrated Lights 
Out 2 (ILO 2) und HP Proli- 
ant Essentials. 

Proliant DL585 G5 heißt 
das 4-U-System mit vier Op- 


Atempo kündigt neue Archivsoftware an 


Seiner Archivierungslösung 
für mittelständische und große 
Unternehmen, Archive Server, 
hat Atempo (www.atempo. 
com) nicht nur den neuen Na- 
men Atempo Digital Archive 
(ADA) 2.0, sondern auch eini- 
ge neue Funktionen spendiert. 
Darunter eine Daten-Dedupli- 
zierung, die den Speicherbe- 
darf verringert. Außerdem er- 
laubt es die neue Version, die 
gespeicherten Dokumente voll- 
ständig zu katalogisieren. Um- 
fangreiche Suchfunktionen sol- 
len das Abrufen von Daten 
vereinfachen. 

Zum Lieferumfang gehört 
außerdem ein „Atempo-Me- 
ter“ genanntes Werkzeug, das 
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den Online-Datenbestand über- 
prüft sowie ungenutzte und 
daher archivierbare Dateien 
anzeigt. Verschiebt man sie 
regelmäßig auf günstigere 
Speichermedien wie SATA- 
II-Festplatten, Magnetbänder 
oder optische Medien, kann 
man die Kosten deutlich redu- 
zieren. 

Ab Mitte April soll die 
Software für Linux, Mac 
OS X, diverse kommerzielle 
Unix-Varianten — darunter 
AIX, HP-UX und Solaris — so- 
wie Windows erhältlich sein. 
Die Preise sind volumen- 
abhängig; der Einstiegspreis 
liegt bei 8000 € für 1 TByte 
Kapazität. 


teron 8354 oder 8356 (2,3 
GHz), 4 bis 128 GByte Haupt- 
speicher, bis zu acht 2,5"- 
SAS- oder -SATA-Platten im 
RAID-Verbund, zweimal Giga- 
bit Ethernet mit TOE (TCP/ 
IP Offload Engine), sieben 
PCle- und zwei PCI-X-Slots 
sowie Integrated Lights Out 2 
für das Remote-Management. 
Sein Preis beginnt bei 8792 
US-Dollar. 

Hinter der Bezeichnung 
Proliant DL185 G5 verbirgt 
sich ein Server im 2-U-Chas- 
sis mit zwei Opteron 2352 
(2,1 GHz), 1 bis 32 GByte 
RAM, maximal 14 3,5"-Fest- 
platten und Dual-Gigabit- 
Ethernet. Er kostet 1749 US- 
Dollar aufwärts. Das zweite 
2-U-System Proliant DL385 
G5 ist dagegen mit zwei Op- 
teron 2352 oder 2356 (2,3 
GHz), 2 bis 32 GByte Arbeits- 
speicher und bis zu acht 2,5"- 
SAS- oder -SATA-Platten im 
RAID-Verbund, zwei Gigabit 
Ethernet mit TOE, PCIe, op- 
tional PCI-X, und ILO 2 aus- 


gestattet. Sein Preis beginnt 
bei 2379 US-Dollar. 

In der 1-U-Klasse bietet HP 
die Zwei-Sockel-Systeme Pro- 
liant DL165 G5 und DL365 
G5 auf; Ersteren bestückt mit 
zwei Opteron 2352 oder 2356, 
2 bis 32 GByte RAM und bis 
zu vier SAS- oder SATA- 
Laufwerke im 3,5"-Format. 
Hinzu gesellen sich 2 x Giga- 
bit Ethernet und Lights Out 
100i; Preis: ab 1479 US-Dol- 
lar. Der Proliant DL365 G5 ist 
nur mit den Opteron-Modellen 
2352 oder 2354 (2,2 GHz), 
dafür jedoch mit bis zu sechs 
2,5"-SAS- oder -SATA-Plat- 
ten und ILO 2 ausgestattet. 
Der Preis beginnt bei 1799 
US-Dollar. 

Die Barcelona-Blades nennt 
HP Proliant BL465c G5 und 
BL685c G5. Erstere arbeitet 
mit zwei Opteron 2352, 2354 
oder 2356 und 2 bis 32 GByte 
Arbeitsspeicher und maximal 
zwei 2,5"-SAS- oder -SATA- 
Platten im RAID-Verbund, 
zwei Gigabit Ethernet und 
Management-Port für ILO2. 
Der Preis beginnt bei 2519 
US-Dollar. Die BL685c G5 
rechnet dagegen mit vier Op- 
teron 8354 (2,2 GHz) oder 
8356 (2,3 GHz) und kann 8 
bis 64 GByte RAM aufneh- 
men. Zudem führen vier GE- 
Ports nach draußen. Dafür kos- 
tet sie auch mindestens 10 649 
US-Dollar. 

Derweil halten sich die Mit- 
bewerber Dell, Fujitsu-Sie- 
mens, IBM und Sun mit kon- 
kreten Ankündigungen zurück. 
Als Erster wird wohl IBM 
nachziehen. 


256 GByte große Flash-SSD für Notebooks 


Der US-amerikanische Spei- 
cherhersteller Super Talent 
(www .supertalent.com) liefert 
Muster einer 256 GByte gro- 
Ben Solid State Disk (SSD) an 
OEMSs. Das 2,5-Zoll-Modell 
FSD56GC25H besitzt eine 
mittlere Zugriffszeit von nur 
0,1 Millisekunden, liest und 
schreibt mit 65 beziehungs- 
weise 50 MByte/s schneller 
als die meisten Festplatten der 
gleichen Bauform und schließt 
auch in puncto Kapazität zu sei- 
nen mechanischen Vettern auf. 
Allerdings passt das 12,5 mm 
dicke SATA-Laufwerk nicht in 
jedes Gerät. 

Sehen lassen können sich 
auch die Angaben zu Verläss- 


lichkeit und Haltbarkeit. Ers- 
tere beziffert der Hersteller 
mit einer MTBF (Mean Time 
Between Failures) von über 
1000 000 Stunden, entspre- 
chend einer Annual Failure 
Rate (AFR) von 0,88 %. Ein 
patentierter Wear-Leveling- 
Algorithmus soll verhindern, 
dass die Flash-Speicherzellen 
vorzeitig altern: Laut Super 
Talent leben sie länger als 140 
Jahre, wenn man jeden Tag 50 
GByte schreibt — bei größe- 
rem Datenaufkommen ent- 
sprechend kürzer. Keine An- 
gaben macht der Hersteller 
hingegen zum Energiebedarf. 
Preise gibt die Firma auf An- 
frage bekannt. 
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Webentwicklung 


Viel Neues aus dem Hause Adobe 


Diverse Neuigkeiten gibt es 
aus dem Hause Adobe. AIR, 
die bisher nur für Mac- und 
Windows-Plattform verfügba- 
re Desktop-Laufzeitumgebung 
für Webanwendungen, liegt 
jetzt als Alpha-Version auch 
für die Linux-Plattform vor 
(www.adobe.com/go/airlinux). 
AIR unterstützt Webtechniken 
und Sprachen wie HTML, Ja- 
vascript Ajax oder DOM. Für 
die Entwicklung von Rich 
Internet Applications (RIAs) 
lässt sich der hauseigene Flex 
Builder nutzen, für den eben- 
falls eine Alpha-Version für 
Linux zum Download bereit- 
steht (www.adobe.com/go/flex 
builder_linux). Adobes Beitritt 
zur Linux Foundation lässt an- 
nehmen, dass der Hersteller die 
Entwicklung der Linux-Ver- 
sionen weiterhin vorantreiben 
wird. 

Zur Version 8 des Web Ap- 
plications Server Coldfusion, 
der ersten Major Release seit 
der Übernahme von Macrome- 
dia durch Adobe, bietet der 
Hersteller unter www.adobe. 
com/support/coldfusion/down 
loads_updates.html Updater an. 
Der bisherige Support von 64 
Bit unter Solaris wurde ausge- 
weitet auf Windows-, Linux- 
und Macintosh-Plattformen. 
Unterstützt werden jetzt außer- 


dem Windows Server 2008 und 
Mac OS X 105. 

Ein Lizenzabkommen mit 
Microsoft soll dafür sorgen, 
dass die Lite-Version des Flash 
Player demnächst über Mobil- 
telefone mit Microsofts Win- 
dows Mobile Zugriff auf inter- 
aktive Web-Inhalte erlaubt, die 
auf Flash-Basis erstellt wur- 
den. Analog dazu soll die Li- 
zenzierung von Adobes Reader 
LE die Anzeige von PDF-Do- 
kumenten auf Windows-Han- 
dys erlauben. 

Als kostenlose Onlinesoft- 
ware bietet Adobe die Public 
Beta von Photoshop Express 
an (www.photoshop.com/ex 
press). Die auf Flex basierende 
Anwendung lässt sich aus ei- 
nem beliebigen Webbrowser 
heraus aufrufen, vorausgesetzt, 
ein Flash Player 9 ist installiert. 
Nutzer können Fotos bis zu 
einem Volumen von 2 GByte 
speichern und online bearbei- 
ten — beispielsweise rote Augen 
entfernen oder Bildbeschnei- 
dungen oder Größenanpassun- 
gen vornehmen. Adobe bietet 
sich als Webhoster für die Ver- 
öffentlichung von Fotos und 
Diashows an, es ist aber auch 
möglich, die Bilder in persönli- 
che Blogs oder Social-Networ- 
king-Seiten wie Facebook ein- 
zubinden. 


Debugging mit dem Flash Development Tool 


Wie schon angekündigt bietet 
die Aachener Powerflasher 
GmbH jetzt auch die Enter- 
prise Edition von FDT 3.0 an 
(fdt.powerflasher.com). Das 
Eclipse-Plug-ins stellt eine IDE 
für Flash und Actionscript zur 
Verfügung . Im Vergleich zu 
den Basic- und Professional- 
Versionen zeichnet sich die 
Enterprise-Variante vor allem 


durch einen Debugger aus. 
Durch die Nutzung der Debug- 
Perspektive von Eclipse kön- 
nen Anwender wie im Flex 
Builder oder in den Java Deve- 
lopment Tools (JDT) Fehler 
suchen und beheben. Als Preis 
für die Vollversion des Flash 
Development Tool nennt der 
Hersteller 599 €, ein Upgrade 
kostet 100 Euro weniger. 


Quark unterstützt Microsofts Silverlight 


In seinem Technologieportal 
Quark Labs (labs.quark.com) 
bietet der Hersteller der Desk- 
top-Publishing-Software sei- 
nen Kunden die Möglichkeit, 
neue Erweiterungen zu testen, 
die noch nicht im Handel er- 
hältlich sind. Dazu zählt unter 
anderem das Modul Quark- 
viewer XT für QuarkXpress 7, 
das Microsofts Silverlight 
unterstützt. Silverlight bietet 
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eine Alternative zu Flash für 
das Abspielen multimedialer 
Inhalte im Web sowie die 
Wiedergabe von Rich Internet 
Applications (RIAs). Mit dem 
Silverlight-Plug-in können Be- 
nutzer von QuarkXpress 7, die 
unter Windows arbeiten, kom- 
plexe interaktive Dokumente 
für das Internet direkt aus 
der Publishing-Software her- 
aus generieren. 
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Recht 


Programmierer haben Namensnennungsrecht bei eigener Software 


Das Oberlandesgericht Hamm 
(Urteil vom 7. August 2007, 
Az. 4 U 14/07) hat einem Pro- 
grammierer ein Namensnen- 
nungsrecht auch dann zuge- 
sprochen, wenn dieser einem 
anderen ein umfassendes und 
ausschließliches Nutzungs- und 
Verwertungsrecht an seinen 
Programmierleistungen einge- 


räumt hat. Die Richter begrün- 
den dies mit dem Urheberper- 
sönlichkeitsrecht. Der Beklag- 
te wurde deswegen verurteilt, 
weil er Hinweise auf den Pro- 
grammierer unter anderem im 
Copyright-Vermerk weggelas- 
sen hatte. 

Die Richter geben Urhe- 
bern durchaus das Recht, ver- 


BGH: Keine umfassende 
Vorratsdatenspeicherung 


Nach dem im März verkünde- 
ten Beschluss des Bundesver- 
fassungsgerichts (BVerfG vom 
19.03.2008, Az. 1 BvR 256/08) 
zur umstrittenen Vorratsdaten- 
speicherung gab es augen- 
scheinlich nur Sieger. Während 
die Gegner mit Presseerklärun- 
gen wie „Karlsruhe schränkt 
Vorratsdatenspeicherung ein“ 
aufwarteten, erklärte das Bun- 
desjustizministerium eilig „‚Vor- 
ratsdatenspeicherung bleibt zu- 
lässig“. Wie ist das möglich? 
Tatsächlich hat das Bundesver- 
fassungsgericht beiden Seiten 
Recht gegeben. Genauso gut 
könnte man sagen, beide Seiten 
haben teilweise verloren. Noch 
aber ist das Thema nicht end- 
gültig vom Tisch, denn das Ge- 
richt hat zunächst nur in einem 
Eilverfahren entschieden. Das 
bedeutet, dass diese Entschei- 
dung nur eine vorläufige ist. 
Trotzdem ist sie bemerkens- 
wert, denn normalerweise hält 
sich das Gericht in solchen Eil- 
sachen sehr zurück. 


In der Vorratsdatenspeicherung 
„liegt ein schwerwiegender und 
nicht mehr rückgängig zu ma- 
chender Eingriff in das Grund- 
recht aus Artikel 10 Abs. 1 GG 
(Schutz des Telekommuni- 
kationsgeheimnisses)“, so die 
Karlsruher Richter. Und weiter: 
„Ein solcher Datenabruf ermög- 
licht es, weitreichende Erkennt- 
nisse über das Kommunika- 
tionsverhalten und die sozialen 
Kontakte des Betroffenen zu er- 
langen.“ Aber sie entschieden 
auch, dass die Vorratsdaten- 
speicherung an sich zunächst 
zulässig bleibt. Zunächst bedeu- 
tet, bis die Verfassungsbe- 
schwerden in der Hauptsache 
entschieden werden. Bis dahin 
aber ist die Nutzung der gespei- 
cherten Daten beschränkt. Sie 
dürfen nur zur Verfolgung 
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„schwerer Straftaten“ verwen- 
det werden. Was für Straftaten 
das sind, definiert $ 100a der 
Strafprozessordnung. Hierzu 
zählen neben Kapitalverbrechen 
wie Mord, Totschlag und Raub 
Vergehen wie Betrug, Beste- 
chung, Geldwäsche et cetera. 
Es handelt sich um diejenigen 
Straftaten, für die die Befugten 
auch bislang schon die Überwa- 
chung von Telefonaten einer 
verdächtigen Person anordnen 
können. 


Auf einen wesentlichen Aspekt 
dieser vorläufigen Entscheidung 
hat der Verband der deutschen 
Internetwirtschaft (eco) hinge- 
wiesen. Die im Rahmen der 
Vorratsdatenspeicherung erfass- 
ten Daten dürfen nicht zur Auf- 
klärung von Urheberrechtsver- 
letzungen verwendet werden, da 
es sich hierbei gerade nicht um 
schwere Straftaten handelt. Da- 
mit könnte das Bundesverfas- 
sungsgericht auch schon einen 
Hinweis gegeben haben, wie 
es eine geforderte Gesetzesän- 
derung zur Einführung einer 
Pflicht der Internet-Access-Pro- 
vider bewerten würde, bei Urhe- 
berrechtsverstößen Daten über 
ihre Kunden an die Musikindus- 
trie herauszugeben. 


Eine erste Konsequenz aus der 
Gerichtsentscheidung dürfte die 
Entscheidung der Staatsanwalt- 
schaft Düsseldorf sein, Strafan- 
träge der Musikindustrie nicht 
mehr zu bearbeiten. In diesen 
wird meist unter Nennung einer 
IP-Adresse eine Urheberrechts- 
verletzung angezeigt. Bislang 
ermittelte die Staatsanwaltschaft 
in solchen Fällen über die Ac- 
cess-Provider den Nutzer der ge- 
nannten IP-Adresse, gegen den 
der Antragsteller dann Schaden- 
ersatzansprüche geltend machen 
konnte. Tobias Haar 


traglich auf dieses Namens- 
nennungsrecht zu verzichten. 
Allerdings muss ein solcher 
Verzicht in der Regel aus- 
drücklich erfolgen. 

Liegt dieser Verzicht nicht 
vor oder gibt es daran Zwei- 
fel, hat der Programmierer 
trotz weitreichender Rechtsein- 
räumung darauf nicht verzich- 


tet und kann weiterhin ent- 
sprechende Ansprüche geltend 
machen. 

Um Ärger zu vermeiden, 
müssen Urheber und Erwerber 
von Nutzungsrechten also un- 
bedingt darauf achten, dass sie 
auch diese Punkte eindeutig in 
den jeweiligen Lizenzverträ- 
gen regeln. Tobias Haar 


Kein „Archiv-Privileg” für Onlinearchive 


Die Nennung eines wegen ei- 
nes schweren Verbrechens Ver- 
urteilten beim Namen in einem 
Presseartikel kann zulässig sein, 
um das berechtigte Informa- 
tionsbedürfnis der Öffentlich- 
keit zu befriedigen. Eine Wei- 
le nach der Veröffentlichung 
eines solchen Artikels kann 
allerdings seine Löschung an- 
gebracht sein, um etwa die 
Resozialisierung des Straftä- 
ters nicht unnötig zu gefähr- 
den. Dann überwiegt das Per- 
sönlichkeitsrecht des Täters. 
Hiervon gibt es aber eine be- 
deutende Ausnahme. Nach 
dem von vielen Juristen vertre- 
tenen Archiv-Privileg bleibt 
auch in solchen Fällen eine 
Speicherung eines ursprüng- 
lich zulässigen und jetzt zu lö- 
schenden Artikels in einem 
Archiv legitim. 

Das Landgericht Hamburg 
(Urteil vom 18. Januar 2008, 
Az. 324 O 507/07) hat nun aber 
entschieden, dass dieses Privi- 
leg nicht für Onlinearchive gilt. 
Die Richter sind der Auffas- 
sung, dass sich ein Onlinear- 
chiv von einem „Offlinearchiv“ 


LaUBgehMachne 


Der Spiegel 


Netzwelt 


Reuters 


Sport Markus Wolfs letztes Geheimnis 


Spiegel TV * Titel 
* Deutschland 
Spiegel special « Winschak: 
} « Ausland 
Service/Suchen mar 
* Sport 
Shop ® Kultur 


. Wimenschaft 


Zündstoff für die Koalition 


dadurch unterscheidet, dass 
auf Ersteres jederzeit eine fast 
beliebige Nutzerzahl zugrei- 
fen kann. Beim Offlinearchiv 
kommt es nur dann zu einem 
Zugriff, wenn ein Interessent 
nach dem Artikel „archiva- 
risch“ sucht. Das Onlinearchiv 
führt also zu einer wesentlich 
intensiveren Belastung des Be- 
troffenen in solchen Fällen. Be- 
reits 1966 hat der Bundesge- 
richtshof entschieden, dass „‚der 
technische Fortschritt, der die 
Speicherung und Zugänglich- 
machung von Daten in immer 
weiterem Umfang zulässt (...), 
nicht dazu führen (darf), dass 
Persönlichkeitsrechtsverletzun- 
gen eher hinzunehmen sind“. 
Das Urteil lässt sich auch 
auf Urheberrechtsverletzungen 
übertragen. Ein Onlinearchiv 
darf eine einmal legal erstellte 
Kopie eines urheberrechtlich 
geschützten Werkes nicht ohne 
Weiteres jedem zugänglich 
machen, wenn später das Nut- 
zungsrecht erloschen ist. Ein 
Offlinearchiv nach dem Urhe- 
berrechtsgesetz aber schon. 

Tobias Haar 


ns 


Für Online- gelten teilweise andere Regeln als für „Offline”- 
Archive, denn durch die leichte Verfügbarkeit für große Nutzer- 
zahlen ist ein besserer Schutz der Persönlichkeitsrechte nötig. 
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Adwords-Urteil 


Das Oberlandesgericht Frank- 
furt (Main) hat entschieden 
(Beschluss vom 26. Februar 
2008, Az. 3/11 O 16/08), dass 
die Nutzung von Google-Ads 
keine wettbewerbsrechtlich un- 
zulässige Rufausbeutung nach 
dem Gesetz gegen den unlau- 
teren Wettbewerb darstellt. Im 
Gegensatz zu Metatags führen 
Google-Ads nur zu einer be- 
stimmten Platzierung einer 
Werbeanzeige. Dies genügt aber 
noch nicht, um darin auch eine 
„kennzeichenrechtliche Benut- 
zungshandlung“ zu sehen, die 
für einen Wettbewerbsverstoß 
erforderlich ist. 

Anders ist der Fall nur dann 
zu bewerten, wenn die durch 
das Keyword aufgerufene Wer- 
beanzeige nicht als solche klar 
und eindeutig erkennbar ist 
und nicht von der Trefferliste 
getrennt dargestellt wird. Die 
Richter distanzieren sich da- 
mit deutlich von einer Gleich- 
setzung von Adwords mit 
Metatags bei deren rechtlicher 
Bewertung, wie dies durch an- 
dere Gerichte in der Vergan- 
genheit teilweise erfolgt ist. 

Tobias Haar 


Sammler von IP- 
Adressen verklagt 


Der Schweizer Datenschutzbe- 
auftragte Hanspeter Thür geht 
gerichtlich gegen ein Unterneh- 
men vor, das sich heimlich IP- 
Adressen von Internetnutzern 
beschafft, die mutmaßliche 
Urheberrechtsverletzungen in 
Filesharing-Systemen begangen 
haben. Dieses Sammeln erfolgt 
mit einer speziellen Software. 
Nachdem der Datenschutzbe- 
auftragte das betroffene Unter- 
nehmen darauf hingewiesen 
hat, dass dieses Vorgehen ge- 
gen das schweizerische Daten- 
schutzrecht verstößt, verklagte 
er das Unternehmen nun. Die- 
ses hatte das beanstandete Ver- 
halten nicht eingestellt, weil es 
den Datenschutzbeauftragten 
für solche „Abmahnungen“ für 
nicht zuständig hält. 
Angeblich waren insbeson- 
dere deutsche Unternehmen Ab- 
nehmer der IP-Adressen den 
schweizerischen Adressensamm- 
lers. Mit diesen Informationen 
wurden Strafanzeigen gegen 
die IP-Nutzer gestellt. 
Tobias Haar 
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Neue offizelle Widerrufsbelehrung für den Fernabsatz 


Seit 1. April 2008 gilt für Fern- 
absatzverträge eine neue Wider- 
rufsbelehrung. Damit reagiert 
die Bundesregierung auf zahl- 
reiche Gerichtsurteile, in denen 
die bislang gültige Widerrufsbe- 
lehrung als unwirksam einge- 
stuft wurde. Einige Unterneh- 
mer waren abgemahnt worden, 
obwohl sie einen offiziellen 


Text verwendet hatten. Grund 
dafür war, dass dieser Text 
nicht mit der Gesetzeslage zum 
Widerruf von Fernabsatzver- 
trägen durch Verbraucher im 
Einklang stand. 

Problematisch war auch, dass 
die Widerrufsbelehrung, deren 
Verwendung übrigens nicht 
zwingend ist, nur als Verord- 


nung und nicht als Gesetz erlas- 
sen wurde. Dies soll sich eben- 
falls ändern und die Belehrung 
demnächst noch einmal in Ge- 
setzesform verabschiedet wer- 
den. Den alten Text können 
Unternehmen noch bis zum 
1. Oktober 2008 verwenden, den 
neuen finden sie unter www. 
bmj.de/bgbinfovo. T.Haar 
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Sicherheit 


Virenschutz mit neuen Features 


Die Produkte des schwäbi- 
schen Herstellers Avira (www. 
avira.de) wurden in der neuen 
Version, der nun Aviras Scan- 
engine 8.0 zugrunde liegt, 
gleich einer Namensänderung 
unterzogen. Sowohl Antivir 
Professional — vormals Antivir 
Workstation — als auch Anti- 
vir Premium - früher Antivir 
Personal Edition — verfügen 
über eine neue grafische Be- 
nutzeroberfläche. Diese er- 
möglicht laut Hersteller einen 
einfacheren und schnelleren 


Zugriff auf die einzelnen Mo- 
dule. Überdies kann man di- 
rekt aus der Oberfläche heraus 
Updates und Prüfdurchgänge 
starten. 

Der Datendurchsatz beim 
Scannen soll um 20 % höher 
liegen als bei der Vorgänger- 
version. Neu in allen Versio- 
nen ist außerdem das inte- 
grierte Modul Webguard, das 
HTTP-Verkehr auf Malware 
untersucht und Phishing- so- 
wie infizierte Websites auto- 
matisch blockiert. 


Sicherheitslücken in Mifare-RFID-Chips 


Mifare-Classic-Chips sind ins 
Gerede gekommen. Bereits 
Ende 2007 hat der Chaos 
Computer Club die Unsicher- 
heiten des Systems beschrie- 
ben, und kürzlich bestätigte der 
Betreiber des landesweiten Be- 
zahlsystems für den öffent- 
lichen Nahverkehr, Trans Link 
Systems, die Unsicherheit. 

In einer Stellungnahme räumt 
NXP Semiconductors ein, dass 
der Chip Mifare Classic ein 
schon seit 1995 auf dem Markt 
befindlicher „Mainstream-Chip“ 
sei, mit einer relativ schwa- 
chen Verschlüsselung. Im Ein- 
satz sei er beim eTicketing im 
öffentlichen Nahverkehr und 
bei Zutrittskontrollsystemen, 
nicht aber auf E-Pässen, kon- 
taktlosen Kredit- oder Debit- 
Karten oder sicherheitsrele- 
vanten Auto-Anwendungen, 
betont der Halbleiter-Herstel- 
ler. Man nehme das Problem 
aber sehr ernst und sei mit den 


Sichere Rücksendung: 

Ab sofort schickt der Foren- 
sik- und Datenrettungsdienst- 
leister Kroll Ontrack (www. 
krollontrack.de) wiederherge- 
stellte Daten in verschlüssel- 
ter Form an Kunden zurück. 
Verschlüsselt wird mit AES, 
den Entschlüsselungscode er- 
hält der Kunde separat. 


Gefahren-Report: Das seit 
einem Jahr existierende 
Storm-Botnet, das durch den 
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Experten vom Chaos-Compu- 
ter-Club in einem offenen Dia- 
log, beteuerte ein Sprecher von 
NXP gegenüber iX. 

Bereits Ende 2007 habe man 
die Systemintegratoren benach- 
richtigt, mit der Empfehlung, 
die fraglichen Systeme genau 
zu untersuchen, um zu entschei- 
den, inwieweit Handlungsbe- 
darf bestehe. Dabei sei aber 
eine Balance zwischen Kosten 
und dem tatsächlich benötigten 
Sicherheitslevel zu berücksich- 
tigen. Darüber hinaus kündigte 
das Unternehmen den Chip 
„Mifare Plus“ für das vierte 
Quartal des Jahres an, was man 
aber nicht als Reaktion auf die 
Presseberichte verstanden wis- 
sen will. Mifare Plus unterstützt 
Verschlüsselung auf Basis des 
AES-Standards (Advanced En- 
cryption Standard). Eine Migra- 
tion von Mifare-Classic-Syste- 
men auf Mifare Plus sei damit 
möglich. Barbara Lange 


gleichnamigen Wurm infi- 
zierte Rechner miteinander 
verbindet, war in den ersten 
drei Monaten dieses Jahres 
für 20 % des gesamten welt- 
weiten Spam-Aufkommens 
verantwortlich, meldet der 
Jüngste Quartalsbericht „In- 
telligence Report“ des Web- 
sicherheitsexperten Message- 
Labs. Er enthält zahlreiche 
Details zu Malware-Trends 
und sonstigen Webbedro- 
hungen und ist online via 
iX-Link abzurufen. 
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Best Practices für Web Application Firewalls 


Wenn Angriffe über erlaubte 
Kanäle kommen, etwa bei 
Webanwendungen über Formu- 
lare, helfen herkömmliche Fire- 
walls wenig — Angriffen wie 
Cross-site Scripting oder SQL 
Injection kann man nur mit spe- 
ziellen Web Application Fire- 
walls (WAF) begegnen. Wie 
man diese am besten einsetzt, 
beschreibt ein neuer „Best Prac- 
tice Guide“, herausgegeben von 
der im vergangenen Jahr ge- 
gründeten deutschen Sektion 
des Open Web Application 
Security Project (OWASP, 
www.owasp.org). Zielgruppe 


der 22-seitigen Broschüre sind 
technische Entscheider. Einer 
der Schwerpunkte befasst sich 
mit der Aufwandsabschätzung 
für das Installieren und Betrei- 
ben einer Web Application 
Firewall sowie für Alternativen 
wie das Anpassen des Source- 
codes. Weitere Themen be- 
treffen die organisatorischen 
Prozesse bei Installation und 
Betrieb sowie die Einführung 
eines „Anwendungsverantwort- 
lichen WAF“. Die Broschüre 
gibt es online, siehe iX-Link. 
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A3.2 Typische Schutzmechanismen von WAFS am Beispiel konkreter 
Schwachstellen 


Die Auflistung der Schutzmöglichkeiten von Web Application Fire- 
walls soll Entscheider bei der Einschätzung ihrer Wirtschaftlichkeit 


unterstützen. 


Sicherheit 2008 - Jahrestagung der Gfl 


Sicherheit, Schutz und Zuver- 
lässigkeit war auch in diesem 
Jahr das Motto der vierten Jah- 
restagung des Fachbereichs Si- 
cherheit der Gesellschaft für 
Informatik. Zur Konferenz „Si- 
cherheit 2008“ in Saarbrücken 
kamen 150 IT-Sicherheitsex- 
perten aus Wissenschaft, In- 
dustrie und dem öffentlichen 
Dienst. Kern des Tagungspro- 
gramms bildeten durchweg 
qualitativ gute wissenschaftli- 
che Beiträge zu den Themen 
Privacy Enhancing Technolo- 
gies (PET), Kryptografie, Bio- 
metrie, Antispam und Antispit, 
Zuverlässigkeit von IT-Syste- 
men sowie reaktive Sicherheit. 

Konkret beleuchtete etwa ein 
Beitrag die Empfänger-Anony- 
mität in Broadcast-Netzwerken 
anhand von Satellit- und Wide- 
Area-Netzwerken, ein weiterer 
die datenschutzrechtliche As- 


pekte unter anderem anhand 
des elektronischen Reisepasses. 
Auch die IT-Sicherheitsausbil- 
dung an deutschen Hochschu- 
len war Thema. Ferner bot 
sich die Gelegenheit, innova- 
tive Anwendungsbeispiele aus 
der Industrie wie Smartcards 
mit SD-Interface oder ein Ab- 
wehrsystem für Spam-over-IP- 
Telephony (Spit) zu begutach- 
ten. Sehr interessante Einblicke 
in die Praxis von Einbruchstes- 
tern boten die Vorträge von Pa- 
trick Hof und Jens Liebchen 
von Redteam Pentesting - ei- 
nem ausschließlich auf die akti- 
ve Überprüfung der Sicherheit 
von IT-Systemen spezialisierten 
Unternehmen. Die nächste Ta- 
gung findet voraussichtlich im 
Herbst 2010 in Kooperation mit 
der Information Security Solu- 
tions Europe (ISSE) in Darm- 
stadt statt. Christian J. Dietrich 
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MARKT + TRENDS 


Mobile/Administration 


Windows Mobile 6.1 angekündigt 


Version 6.1 von Microsofts 
Windows Mobile soll schnel- 
ler auf SMS, E-Mails, unbe- 
antwortete Anrufe und Unter- 
haltungsfunktionen zugreifen 
können. Der aktualisierte Brow- 
ser verarbeitet Adobes Flash 
und Microsofts Silverlight so- 
wie Videos im H.264-Format, 
verspricht der Hersteller. Au- 
Berdem soll ein Vollbildmodus 
den Abstand zur großen Ver- 


sion des Internet Explorer ver- 
ringern. 

Unternehmen verspricht Mi- 
crosoft eine einfachere Ver- 
waltung der Windows-Mobile- 
Geräte mit dem System Center 
Mobile Device Manager. Den 
neuen Browser sollen Geräte- 
hersteller im dritten Quartal 
bekommen; erste Modelle mit 
Windows Mobile 6.1 könnten 
Ende des Jahres erscheinen. 


Flexibler VPN-Client für Symbian 


Mit ihrem VPN-Client will 
die Nürnberger NCP enginee- 
ring GmbH (www.ncp.de) ei- 
ne Lücke auf Symbian-Gerä- 
ten füllen. Die Software läuft 
auf S60-Modellen, zu denen 
unter anderem die Nokia- 
Smartphones der E-Serie ge- 
hören. Dort ist zwar ein VPN- 
Client verfügbar, er funktioniert 
jedoch lediglich mit einem 
Gateway von Nokia ohne 
Klimmzüge. 

Nach Herstellerangaben ar- 
beitet seine VPN-Software mit 
vielen Gateways zusammen, 
unter anderem mit den freien 
IPSec-Versionen von Open- 
BSD, Freeswan und Openswan. 


Die Authentisierung per Pre- 
shared Keys (PSK) ist mit al- 
len Gegenstellen möglich, mit 
den meisten lässt sich außer- 
dem die Anmeldung per Zer- 
tifikat bewerkstelligen. 

NCP bietet wie bei seinen 
Windows-Mobile-Clients zwei 
Versionen an: Ab April soll es 
die Enterprise-Variante geben, 
für die der Hersteller eine Ser- 
verkomponente zur zentralen 
Verwaltung und Integration 
ins Unternehmensnetzwerk an- 
bietet. Erst im Juli will er die 
Entry-Version ohne diese zen- 
tralisierte Administration her- 
ausbringen. Die Clients kosten 
99 und 69 € netto. 


Vodafone senkt Datentarif 


Einen Monat nach T-Mobile 
reduzierte Vodafone den Preis 
für die Daten-Flatrate „Mobile 
Connect Flat“ auf ebenfalls 
30 € netto monatlich. Ganz 
„flat“ ist dieser Tarif aller- 
dings nicht: Hat der Kunde 
10 GByte im laufenden Mo- 
nat übertragen, drosselt Voda- 
fone wie T-Mobile die Ver- 
bindung. Statt der maximal 
7,2 Mbps im UMTS-Netz ste- 
hen dann nur noch rund 


60 kbps zur Verfügung. Wer 
auch im Ausland regelmäßig 
ins Web möchte, bekommt 
für weitere 17 € zwei interna- 
tionale Websessions pro Mo- 
nat. Dieser Zugang steht in 
35 Ländern für jeweils 24 
Stunden zur Verfügung - bei 
maximal 50 MByte Datenvo- 
lumen pro Sitzung. Die Min- 
destlaufzeit der bis Ende Juli 
befristeten Angebote beträgt 
zwei Jahre. 


Symbian integriert SQLite 


Ab dem zweiten Quartal sollen 
Symbian-Entwickler eine SQL- 
Datenbank in ihren Anwendun- 
gen nutzen können, denn die 
von Nokia dominierte Entwick- 
lerfirma Symbian Inc. integriert 
das freie SQLite (www.sqlite. 
org) in ihr Betriebssystem für 
Mobilgeräte. Die eingebettete 
Datenbank findet bisher unter 
anderem in Mozillas Firefox 
und diversen Apple-Program- 
men wie dem Adressbuch Ver- 
wendung. Sie ist in C geschrie- 
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ben, für andere Programmier- 
sprachen wie C++ und Java 
gibt es Wrapper. Außerdem 
stellen JDBC- und ODBC-Trei- 
ber Verbindung zu anderen 
Programmen her. SQLite bietet 
zwar Transaktionen, prüft Daten 
jedoch nur lax: Die meisten feh- 
lerhaften Eingaben akzeptiert es 
klaglos und speichert sie als 
Strings. Constraits für Fremd- 
schlüssel erzwingt SQLite nicht, 
es kennt auch keine GRANT- 
und REVOKE-Befehle. 


Hewlett-Packard integriert Opsware 


HP hat die im vergangenen Jahr 
übernommenen Opsware-Lö- 
sungen zur RZ-Automatisierung 
in die eigenen Management- 
werkzeuge integriert. Work- 
flows verknüpfen diese mit den 
Komponenten für die IT-Über- 
wachung, -Analyse und -Steue- 
rung des operativen IT-Betriebs. 
Mit den Tools lassen sich Ser- 
vice-Management-Prozesse wie 
das Ereignis- und Verände- 
rungsmanagement über alle 
Domänen hinweg automatisie- 
ren. Eine Schlüsselrolle hierbei 
übernimmt die ehemalige Ops- 
ware-Komponente Operations 


Orchestration, die als zentrale 
Steuerungsinstanz der HP-Soft- 
ware für das Management des 
operativen IT-Betriebs dient. 
Die hinterlegten Abläufe ver- 
knüpfen Funktionen wie das 
Messen von Antwortzeiten, die 
Fehlerdiagnose, den Service 
Desk sowie das Konfigurieren 
von Netz- und Speicherkom- 
ponenten, Servern und Clients. 
Auf diese Weise sollen Er- 
kenntnisse aus der IT-Überwa- 
chung, etwa schlechte Antwort- 
zeiten, automatisch Aktionen 
wie Diagnose und Rekonfigura- 
tion auslösen. 


Ursachen kritischer Last grafisch aufbereitet 


Das Netzmanagement-Werk- 
zeug Scrutinizer Version 5.5 
von Plixer, das hierzulande der 
Distributor PSP anbietet, ana- 
lysiert den Netzwerkverkehr 
auf Basis von Netflow- und 
Sflow-Daten. Detailliert lässt 
sich durch die Analyse der In- 
formationen des IP-Daten- 
stroms sowie der Erfassung 
des Netzwerkverkehrs feststel- 
len, welches Endsystem die 
kritische Last produziert, wel- 
che Applikation oder welches 


Protokoll in Aktion tritt und 
welche Netzwerkverbindungen 
betroffen sind. Vom Scrutini- 
zer-Server gewonnene Infor- 
mationen sind grafisch aufbe- 
reitet von jedem Browser aus 
abrufbar. Die zur Verfügung 
gestellten Netzwerkkarten las- 
sen sich über das Web konfi- 
gurieren und per Drag and 
Drop variieren. Eine Visuali- 
sierung globaler Netze verein- 
facht eine Schnittstelle zu Goo- 
gle Maps. 


Accenture identifiziert mit Sun 


Sun Microsystems und Accen- 
ture bringen gemeinsam die 
„Smart Identity Solution“ her- 
aus. Sie unterstützt das soge- 
nannte Identity Establishment 
(Identitätsbestätigung) sowie 
die sichere Authentifizierung, 
indem sie sowohl physische 
als auch digitale Systeme wie 
Smartcard oder Biometrie ein- 
bezieht. Unter dem Strich soll 
so ein gesicherter unterneh- 
mensweiter Identitätsmanage- 
ment-Prozess umsetzbar sein. 
Außer der Smart Identity So- 
lution umfasst das „sichere“ 


Bündnis: iET Solutions ist 
eine Partnerschaft mit Cris- 
ton eingegangen. Die Zu- 
sammenarbeit zwischen dem 
IT-Servicemanagement von 
1ET und dem PC-Lifecycle- 
und Schwachstellen-Manage- 
ment von Criston soll die 


Angebot von Accenture die 
Tools Enterprise Identity Ma- 
nagement Solution, Solution 
for Control and Compliance 
(mit Einbindung von SAPs 
GRC - Governance, Risk and 
Compliance), SOA Jumpstart 
Solution for Sun Java und Se- 
cure SOA Solution. Die Si- 
cherheitsprodukte basieren auf 
Suns Java System Identity 
Management Suite, der Java 
Composite Application Plat- 
form Suite (Java CAPS), So- 
laris sowie dem Java System 
Portal Server. 


Verfügbarkeit der IT-Infra- 
struktur erhöhen und das Ri- 
sikomanagement verbessern. 


Automatisiert: BMC Soft- 
ware übernimmt Bladelogic, 
einen Anbieter von Automa- 
tisierungssoftware für Re- 
chenzentren, für 800 Mio. 
Dollar. Bereits vor der Ak- 
quisition hatten beide Firmen 
zusammengearbeitet. 
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MARKT + TRENDS 


World Wide Web 


PyCon: Python 3 in Sicht 


Mitte März zog die amerikani- 
sche Python-Konferenz (Py- 
Con) in Chicago mehr als 
1000 Besucher aus aller Welt 
an; mit acht Tagen war es die 
bislang längste. Etwa 30 Tuto- 
rien boten Stoff für Einsteiger 
und erfahrene Programmierer. 
140 Vorträge zu Sprache, Bi- 
bliotheken, Frameworks, Scien- 
tific Computing sowie zahlrei- 
che Erfahrungsberichte füllten 
die Konferenztage. 

In seiner traditionellen Key- 
note bemerkte Python-Erfinder 
Guido van Rossum, dass er 
zum letzten Mal auf einer Py- 
Con über Python 3 im Futur 
reden müsse, denn im Herbst 
soll die Dreierversion endlich 
erscheinen. Vorab-Releases 
sind schon erhältlich. Weitere 


Enterprise-Suche: Mit der 
Version 8.5 ihrer Omnifind 
Enterprise Software bietet 
IBM durch Updates der Lo- 
tus-Produkte Quickr und 
Connection bessere Such- 
möglichkeiten in sogenannter 
Social Software. Außerdem 
enthält die neue Version eine 
Analyse der besten Ergeb- 
nisse, deren Metadaten 
Grundlage einer grafischen 
Aufbereitung sind. 


Browsertest: Sowohl die 
Entwickler von Webkit (das 
Apples Safari nutzt) als auch 
Opera konnten melden, dass 
die Produkte den schwieri- 
gen Browsertest Acid3 ge- 
schafft hätten (www.web 
standards.org/action/acid3/). 


PDF-Konvertierung Softvi- 
sion Development aus Fulda 
bietet unter www.webpdf. 

net einen kostenlosen Dienst 


Keynotes hielten unter ande- 
rem Van Lindberg, der die „In- 
tellectual Property“ und „Open 
Source“ aus der Sicht eines Ju- 
risten beleuchtete, sowie Mark 
Hammond, der das Verhältnis 
zwischen Python und Mozilla 
darstellte. 

Die Vielfalt der Python- 
Community spiegelte sich im 
Profil der Sponsoren wider: 
Google, Microsoft, Sun, O’Reil- 
ly - ein deutliches Zeichen für 
die wachsende Verbreitung 
und kommerzielle Nutzung der 
Sprache. Die gesamte Kon- 
ferenz ist inzwischen auf You- 
tube zu sehen (www youtube. 
com/user/pycon08). Im nächs- 
ten Jahr wird die PyCon wieder 
in Chicago stattfinden. 

Christian Theune 


an, der aus über 100 Datei- 
formaten PDF erzeugt. 
Dokumente dürfen bis zu 

4 MByte umfassen und unter 
anderem Text-, Tabellenkal- 
kulations- und Präsenta- 
tionsformate enthalten. 


CMS ina box: Der taiwane- 
sische NAS-Hersteller Qnap 
(www.gnap.com) bietet seine 
TS-409 Turbo NAS-Serie 
jetzt mitsamt dem CMS 
Joomla an, was MySQL und 
PHP einschließt. 


Online-Enzyklopädie: An- 
ders als vorgesehen hat die 
Verlagsgruppe B.l. & F.A. 
Brockhaus Mitte April ihr 
geplantes Wissensportal mit 
300 000 Stichwörtern noch 
nicht eröffnet. Der Startter- 
min ist offen. Ob es eine 22. 
Auflage der Enzyklopädie 
geben soll, bleibt unklar, die 
Nachfrage nach der derzeiti- 
gen sei nach der Ankündi- 
gung des Portals gestiegen, 
heißt es beim Verlag. 


ISO standardisiert Microsofts OOXML 


Am 2. April haben die inter- 
nationale Standardisierungsor- 
ganisation ISO und die in- 
ternationale elektrotechnische 
Kommission (IEC) innerhalb 
ihres Joint Technical Commit- 
tee 1 (JTC 1) Microsofts schon 
bei der Ecma als Standard 376 
verabschiedetes Datenformat 
Office Open XML als ISO/IEC 
DIS 29500 anerkannt. 
Erforderlich waren dafür 
zwei Drittel der Stimmen der 
im Komitee teilnehmenden 
Staaten und nicht mehr als ein 
Viertel Ablehnungen. Diese 
Bedingungen waren mit 75 % 
beziehungsweise 14 % erfüllt. 
Im Februar hatte ein Ballot Re- 
solution Meeting (BRM, eine 
Art Abstimmungsnachbespre- 
chung) stattgefunden, während- 
dessen das JTC die Kommenta- 
re einzelner Staaten diskutierte. 
Im September 2007 hatte 
OOXML noch keine ausrei- 


chende Mehrheit für die Stan- 
dardisierung gefunden. 

Im Umfeld der Entschei- 
dung hat es offenkundig Irre- 
gularitäten gegeben. Steve 
Pepper, Vorsitzender des zu- 
ständigen Gremiums des nor- 
wegischen Normungsinstituts, 
hat formellen Protest dagegen 
eingelegt, dass Norwegens Ja 
berücksichtigt wird, weil 80 % 
der Gremiumsmitglieder für 
ein Nein waren. 

Zu den ISO-Standards im 
Umfeld der Bürokommuni- 
kation gehören außer dem 
OOXML-Konkurrenten Open 
Document Format (ODF, ISO/ 
IEC 26300) sowie zwei PDF- 
Varianten (Langzeitarchivie- 
rung, ISO 19005-1 und Druck- 
vorstufe, ISO 15930). Für Mai 
hat Microsoft die endgültige 
Version seines OOXML-SDK 
angekündigt (siehe auch das 
Editorial, S. 3). 


Apples Webbrowser Safari 3.1 


Apples Webbrowser Safari liegt 
jetzt in der Version 3.1 vor— nur 
ein kleiner Sprung vom Vorgän- 
ger 3.0.4. Vor allem hinsichtlich 
Standards haben sich einige 
Änderungen ergeben. So unter- 
stützt der Browser jetzt Web- 
fonts nach den CSS 3, kennt die 
Elemente audio und video des 
noch in Entwicklung befind- 
lichen HTML 5 (www .w3.org/ 
html/wg/html5/) und erlaubt 


SVG-Grafiken im Element img. 
Leistung und Stabilität be- 
zeichnet Apple als verbessert, 
und für die Windows-Variante 
gilt, dass sie signierte Java-Ap- 
plets unterstützt und auf 16 
Sprachen vorbereitet ist. Er- 
hältlich ist die neue Version 
entweder über die Software- 
Aktualiserung auf Macintosh- 
Rechnern oder unter www.ap 
ple.com/safari/. 


Web: Ältere brauchen länger 


User-Interface-Guru Jakob Niel- 
sen hat in seiner „Alertbox“ ge- 
nannten Kolumne Ende März 
den Einfluss des Alters auf den 
Umgang mit dem Web disku- 
tiert (www .useit.com/alertbox/ 
middle-aged-users.html). 

Nach seinen Untersuchungen 
werden die Mainstream-Surfer 
- die Altersgruppe zwischen 25 


und 60 - bei der Benutzung von 
Websites jedes Jahr um 0,8 % 
langsamer. Das bedeutet im 
Laufe von 40 Jahren immerhin 
32 %. Wegen der Beschleuni- 
gung des Alterungsprozesses 
geht Nielsen davon aus, dass 
Übersechzigjährige sogar um 
74 % langsamer sind als die 40 
Jahre Jüngeren. 
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MARKT + TRENDS 


Business-Software 


Der DataXtend Semantic Inte- 
grator (SD) von Progress soll die 
Datenintegrität in SOA-Um- 
gebungen gewährleisten. Dazu 
fasst er die Punkt-zu-Punkt- 
Verbindungen zwischen ver- 
schiedenen Anwendungen an 
einer zentralen Stelle zusam- 
men. SI bietet darüber hinaus 
ein Design-Werkzeug sowie ei- 
ne Laufzeitumgebung. Über den 
Designer lassen sich Schemata 
für Datenquellen und -dienste 
sowie sogenannte Common Da- 
ta Models (CDM) importieren — 
etwa für die Telekommunika- 
tionsbranche. Je nach Semantik 
und Syntax des Schemas wan- 
delt er die angeforderten Daten 
in die allgemein „verständliche“ 
Sprache um und bildet sie auf 
die nächste entsprechende Ap- 
plikation ab. 


Impact-Analysen, die Modi- 
fikationen an den Daten und 
deren Auswirkungen auf die 
Quellen erkennen, kann der Be- 
nutzer mit dem Designer eben- 
falls durchführen. In der aktuel- 
len Version 8.3 hat Progress die 
Funktion „Change Data Cap- 
ture“ in die Laufzeitumgebung 
integriert. Sie steuert den Infor- 
mationsfluss zwischen den ver- 
schiedenen Datenbanken, die 
ein gemeinsames Datenmodell 
verwenden, und aktualisiert au- 
tomatisch das CDM. Zurzeit 
unterstützt SI lediglich Oracle- 
Datenbanken als Data Distribu- 
tion Sources. Zusammen mit 
einem Enterprise Service Bus 
lässt sich die Laufzeitumgebung 
als Dienst oder Applikationsser- 
ver auch außerhalb einer SOA 
einsetzen. Susanne Franke 


BPM-Suite für die Fachanwender 


Mithilfe der BPM-Suite (Busi- 
ness Process Management) 
M30O von Vitria sollen die 
Fachabteilungen Geschäftspro- 
zesse eigenständig modellieren 
und gemeinsam mit der IT-Ab- 
teilung verwalten. Die Soft- 
ware bietet eine auf BPMN 
(Business Process Modeling 
Notation) beruhende Umge- 
bung, in der die Anwender Ge- 
schäftsabläufe in einzelnen 
Schritten aufbauen können. 
Aufgabe der IT bleibt weiter- 
hin die technische Anbindung 
der involvierten Anwendungen 


Kommerzanalyse: Web- 
trends, Anbieter für Web- 
analyse-Software, und 
Intershop arbeiten zusam- 
men. Im Rahmen der Ko- 
operation hat Intershop das 
Shop-Analyse-Werkzeug 
Webtrends Analytics 8 in 
seine E-Commerce-Software 
Enfinity Suite 6 eingebaut. 


Zusammenführung: Pro- 
jectplace und Netviewer ha- 
ben ihre Partnerschaft erneu- 
ert. Danach lässt sich 
Netviewer five mit VoIP- 
und Videofunktion in das 
On-Demand-Angebot zum 
Projektmanagement von Pro- 
jectplace einbinden. 
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und Systeme. Fach- und IT- 
Abteilung greifen rollenbasiert 
auf dieselbe Umgebung sowie 
das Repository zu, in dem die 
Prozesse liegen. Vitria liefert 
die BPM-Suite mit einem 
JBoss-Server aus. Sie basiert 
auf dem ehemaligen Business 
Accelerator, der nun unter dem 
Namen M30 ESB firmiert. 
Ebenfalls Bestandteil des Pa- 
kets ist der Exception Mana- 
ger, der regelgesteuert Ausnah- 
mesituationen und Fehler in 
den Prozessen erkennt und be- 
handelt. Susanne Franke 


Besser untersucht: Die neue 
Release der Enterprise Intel- 
ligence Platform SAS9.2 
von SAS bietet erweiterte 
Analysefunktionen. Diese 
sollen helfen, komplexe Si- 
mulationen und Vorhersagen 
inklusive Was-wäre-wenn- 
Szenarien durchzuführen. 
Verbessert hat man angeblich 
auch den Aufbau der Opti- 
mierungsmodelle. 


SaaS-CRM: Parallels er- 
weitert seine Automatisie- 
rungslösung für Rechenzen- 
tren um den Support für 
Microsofts Dynamics CRM 
4.0. Service Provider können 
dieses Angebot für das Ma- 
nagement von Kundenbezie- 
hungen somit in ihr On-De- 
mand-Angebot aufnehmen. 


Semiramis findet neuen Grund 


Gut ein Jahr nach der Über- 
nahme von Teilen der insol- 
venten Semiramis darf sich 
SoftM über die ersten Früchte 
seines Engagements rund um 
die in Java geschriebene Stan- 
dardsoftware freuen. Mit 40 
Abschlüssen im Jahr 2007 er- 
reicht man die eigene Zielvor- 
gabe allerdings nicht ganz. 
Die Umsatzzuwächse in den 
letzten Quartalen sowie die 
gut gefüllte Interessentenliste 
nähren jedoch große Hoffnun- 
gen auf lukrative Geschäfte in 
der Zukunft. Hilfreich ist, dass 
es seit diesem Monat endlich 
die Release 4.4 von Semira- 
mis gibt. 

Zu den Neuerungen zählen 
unter anderem Frameworks für 
Rechnungswesen, BI Cockpit 
und Business Process Manage- 
ment. Das Rechnungswesen 
basiert auf der Sharknex-Soft- 
ware, die SoftM mit der J2EE- 
Entwicklungsplattform Bison 
Solution der gleichnamigen 
Schweizer Firma umsetzte. Im 
Analyse/BI-Bereich verlässt 
sich SoftM auf Microsoft- 
Technik, die BI-Komponente 
benötigt daher einen SQL Ser- 
ver als Grundlage. Damit sich 


komplexe Transaktionen pro- 
zessorientiert steuern lassen, 
zog das Münchner Unterneh- 
men zwischen Anwendungs- 
und Präsentationsschicht einen 
separaten Prozess-Layer ein. 
Er enthält die Ablaufbeschrei- 
bungen, die die Prozess-Engine 
zur Laufzeit ausführt. Die BPM- 
Software ist keine Eigenent- 
wicklung, sondern basiert auf 
Xpert.ivy der Schweizer Sore- 
co AG. 

Ebenfalls neu ist eine Kom- 
ponente für das Qualitätsma- 
nagement, die Funktionen 
zum Generieren und Umset- 
zen von Prüfplänen für den 
Wareneingang bereitstellt. Zu- 
dem unterstützt Semiramis 
nun die Außenhandels- und 
Zollabwicklung gemäß der 
elektronischen Ausfuhranmel- 
dung im Atlas-System der 
deutschen Zollverwaltung. In 
Kürze will SoftM den Partner 
für die On-Demand-Variante 
von Semiramis präsentieren. 
Dem Vernehmen nach soll 
sich das gehostete Angebot 
eher am ASP-Modell (Single 
Tenant) als an einem echten 
SaaS-Betrieb (Multi Tenant) 
orientieren. 


SAP plant Business Intelligence neu 


Nach SAPs Übernahme von 
Business Objects nimmt die 
Portfoliozusammensetzung im 
Bereich Business Intelligence 
peu ä peu Gestalt an. Für beste- 
hende Produkte will man zwar 
für mindestens fünf Jahre den 
Support gewährleisten, gleich- 
zeitig ist aber bei den BI-Werk- 
zeugen das große Aufräumen 
angesagt. Einer Analyse des 
Würzburger Business Applica- 
tion Research Center (BARC) 
zufolge werden beispielsweise 
SAP-Eigengewächse wie BI 
Integrated Planing bestenfalls 
als technische Komponenten 
überleben. Denn für Planungs- 
aufgaben gilt die Software der 
im vergangenen Jahr erworbe- 
nen Outlooksoft, die nun unter 
der Bezeichnung SAP BPC 
(Business Planning and Con- 
solidation) vermarktet wird, 
als künftiger Standard. 

Pilot Software, eine weitere 
Akquisition, stellt die Basis für 
das strategische Management. 
Im Segment der Finanzkonso- 
lidierung kommen die Produk- 
te der Business-Objects-Toch- 


ter Cartesis zum Zuge. Per- 
spektivisch möchte SAP die 
Tools zur Finanzkonsolidie- 
rung, das eigene SEM BCS, 
Outlooksofts Integrated Con- 
solidiation sowie Cartesis zu- 
sammenführen. Dabei soll 
Cartesis die technische Grund- 
lage bilden und die Frontends 
von Outlooksoft den Zugang 
ermöglichen. Andere Planungs- 
werkzeuge wie die von Busi- 
ness Objects eingebrachten Pro- 
dukte Planning XIR2/SRC und 
Extended Planning/Inea, die ih- 
rerseits ebenfalls aus Über- 
nahmen stammen, wird SAP 
nach Einschätzung von BARC 
nicht mehr aktiv weiterentwi- 
ckeln. SAP BPC, deren Oberflä- 
chen auf Excel beziehungswei- 
se Microsoft Office basieren, 
nutzt im Serverbereich aus- 
schließlich Datenbanktechnik 
von Microsoft und Oracle. Es 
liegt auf der Hand, dass SAP 
mit Hochdruck daran arbeitet, 
zumindest ergänzend die Ein- 
bindung in die eigene Busi- 
ness-Warehouse-Technik vor- 
anzutreiben. 
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Topix führt Funktionen zusammen 


Anfang des Jahres hat die To- 
pix AG den Quellcode der auf 
der Datenbank 4D basierenden 
ERP-Software P4 Enterprise 
sowie die zugehörige Kunden- 
liste vom Insolvenzverwalter 
der Parkstreet GmbH über- 
nommen. Der neue Eigner be- 
absichtigt, den Support für P4 
Enterprise so lange fortzufüh- 
ren, bis der Umstieg auf das ei- 


PLM in SAP einbinden 


ECS bringt eine neue Version 
seines PLM Integrators (Pro- 
duct Lifecycle Management) 
auf den Markt. Mit dem als 
SAP-Partnerlösung zertifizier- 
ten XI-Adapter lassen sich 
Programme für das Product- 
Lifecycle-Management in die 
Exchange Infrastructure (XD) 
von SAPs Netweaver einbinden 
und in systemübergreifende 
Geschäftsprozesse integrieren. 


gene, ebenfalls auf 4D basie- 
rende Topix 5 vollzogen ist. 
Mittelfristig will man vor al- 
lem Funktionen aus Lagerwirt- 
schaft und Produktion aus P4 
in Topix 5 überführen. Auch 
die Module Webshop und Pu- 
blishing für datenbankgestütz- 
te Webseitengenerierung und 
Print-Katalogproduktionen sol- 
len bei Topix überleben. 


Das Abbilden der PLM- auf 
SAP-Objekte und umgekehrt 
erfolgt bis auf Attributebene 
über grafische Editoren. Ne- 
ben einfachen 1:1-Zuordnungen 
kann der Entwickler komplexe 
Transformationen, Regelwerke 
und Mapping-Tabellen hin- 
terlegen, um beispielsweise 
strukturierte Produktinforma- 
tionen wie Stücklisten inein- 
ander überführen zu können. 


Projektmanagement in zwei Varianten 


Onepoint Software, ein österrei- 
chischer Anbieter für Projekt- 
und Portfoliomanagementsoft- 
ware (PPM), hat die Version 8 
seines Projektführungswerk- 
zeugs Project vorgestellt. Zu 
den Neuerungen gehören bei- 
spielsweise anpassbare Projekt- 
und Ressourcentypen, konfi- 
gurierbare E-Mail-Nachrichten 
sowie ein erweitertes Dokumen- 


tenmanagement. Optional sind 
Module für Skills Management 
und Status-Reporting erhält- 
lich. Sie lassen sich zusammen 
mit dem Hauptprodukt lizen- 
zieren. Onepoint Project gibt 
es in einer kommerziellen und 
in einer Open-Source-Ausprä- 
gung. Letztere lässt sich von 
sourceforge.net/projects/oppro 
ject/ herunterladen. 


Lawson peilt neue Kunden an 


Den Lawson Process Flow In- 
tegrator gibt es nun auch als 
Zusatzprodukt zum Lawson 
M3 Enterprise Management. 
Die Webservice-fähige Soft- 
ware, seit Längerem schon bei 
Kunden im Gesundheitswesen, 
im öffentlichen Sektor und an- 
deren Dienstleistern im Ein- 


satz, hilft Unternehmen dabei, 
Geschäftsprozesse zu erstellen 
sowie festzulegen, wie der Da- 
tenfluss zwischen unterschied- 
lichen Geschäftsanwendungen 
(auch von Drittanbietern) aus- 
sehen soll. Dieses Produkt kön- 
nen nun auch Interessenten aus 
Fertigung und Handel ordern. 


Major Release von PlanningIT 


PlanningIT, das Planungswerk- 
zeug der Berliner Alfabet AG 
soll das Zusammenwirken von 
Geschäft und IT verbessern. Die 
neue Release 4.0 bietet einige 
Erweiterungen, beispielsweise 
hat das Softwarehaus dem Pro- 
dukt eine neue Plattform für 
die Workflow-Automatisierung 
spendiert, mit der sich Prozesse 
aufbauen, formalisieren und 
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überwachen lassen. Über das 
Milestone Tracking will man 
die IT-Governance besser ab- 
decken. Und Blueprint Planning 
und Migration Planning erhöhen 
die Konsistenz, Vollständigkeit 
und Effizienz bei der Planung 
von IT-Landschaften. Plan- 
ningIT 4.0 ist auf Subskrip- 
tionsbasis (SaaS) oder in einer 
unbefristeten Lizenz erhältlich. 
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Wirtschaft 


Zugelegt: Die Stepstone 
ASA verdoppelte im abge- 
laufenen Geschäftsjahr den 
Umsatz auf 98,5 Mio. €. 
Das EBITDA wuchs im 
gleichen Zeitraum von 9,8 
Mio. auf 22,4 Mio. €. Die 
Einnahmen im Portalge- 
schäft legten dabei um 

67 % auf 58,3 Mio. € zu. 


Vage: Auch im laufenden 
Jahr soll der PC-Absatz 
nach Gartner zweistellig 
auf weltweit rund 293 Mio. 
Einheiten zulegen. Aller- 
dings können die rezessiven 
Tendenzen der US-Wirt- 
schaft, ein verlangsamtes 
Wirtschaftswachstum in 
China sowie ein hoher 
Ölpreis das Wachstum 
noch unter zehn Prozent 
drücken. 


Ein Drittel mehr: Der IT- 
Dienstleister Hexaware 
Technologies Ltd. steiger- 
te 2007 den Umsatz um 
35,1 % auf 252,94 Mio. $. 
Der Nettogewinn lag bei 
26,78 Mio. $. 


Geschluckt: SAS über- 
nahm Teragram, einen 
US-Anbieter von Textana- 
lyse-Software. Mit der 
Akquisition will der Busi- 
ness-Intelligence-Spezia- 
list seine Text-Mining- 
und Analyse-Angebote um 
Funktionen für Enterprise 
Search über PCs und mo- 
bile Endgeräte ausdehnen. 


Getrotzt: Ungeachtet der 
US-amerikanischen Kon- 
junkturschwäche verdop- 
pelte Blackberry-Anbieter 
Research in Motion 
(RIM) im Geschäftsjahr 
2007/2008 den Umsatz 
auf fast 6 Mrd. $. Den 
Gewinn baute die kanadi- 
sche Firma auf 1,3 Mrd. $ 
aus. Ingesamt zählt RIM 
jetzt 14 Millionen Black- 
berry-Abonnenten. 


Geplatzt: Nicht einver- 
standen aufgrund von Si- 
cherheitsbedenken waren 
die US-Behörden mit dem 
Kauf von 3Com durch die 
Investorengesellschaft 
Bain und den chinesischen 
Netzequipment-Hersteller 
Huawei. 
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Wechsel in der SAP-Führungsetage 


Ernte einfahren 


Achim Born 


Mit der erwarteten Neuordnung an der 
Unternehmensspitze stellt SAP die Weichen für die 
Zukunft. Auch wenn es zunächst keine großartigen 
Veränderungen in der Unternehmensstrategie geben 
soll, zeigen die jüngsten Ankündigungen eins: 

SAP will mehr Geld verdienen. 


un ist der Wechsel an der 

SAP-Spitze offiziell. Den 
bisher stellvertretenden Vor- 
standssprecher L&o Apotheker 
hat der Aufsichtsrat am 2. April 
zum gleichberechtigten zweiten 
Vorstandssprecher neben Hen- 
ning Kagermann ernannt. Ab 
Mai kommenden Jahres, wenn 
der Vorstandsvertrag des ak- 
tuellen SAP-Chefs Kagermann 
ausläuft, leitet der Wahl-Pariser 
die Geschicke des größten deut- 
schen Softwarehauses als allei- 
nige Spitze. 

An der Bestellung von Apo- 
theker überrascht allenfalls der 
Zeitpunkt. Dass der Vertriebs- 
profi zum neuen Chef erkoren 
wird, galt spätestens nach dem 
Abgang des damaligen Tech- 
nologievorstandes Shai Agassi 
als ausgemacht. Nachdem der 
als Ziehsohn des SAP-Mit- 
gründers und Aufsichtsrats- 
vorsitzenden Hasso Plattner 
gehandelte Agassi an seiner 
Ungeduld scheiterte und im 
vergangenen Jahr überraschend 
das Handtuch warf, war das 
Nachfolgerennen im Grunde 
entschieden. Mit der gleichzei- 
tigen Berufung des einstigen 
Amerika-Verantwortlichen Bill 
McDermott zum weltweiten 
Vertriebschef sowie von Jim 
Hagemann Snabe zum Verant- 
wortlichen für die Entwicklung 
der SAP Business Suite und die 
Netweaver-Plattform und von 
Erwin Gunst zum Chief Opera- 
ting Officer (COO) sind die 
Weichen für die Zukunft im 
SAP-Vorstand gestellt. Auch 
Forschungsvorstand Peter Zen- 
cke wird seinen zum Jahresen- 
de auslaufenden Vertrag nicht 
verlängern. Als Berater soll die 
treibende Kraft hinter der neu- 
en Business-ByDesign-Soft- 


ware jedoch dem Unternehmen 
verbunden bleiben. 

Der SAP-Vorstand ist in der 
neuen Zusammensetzung frag- 
los verkaufs- und controlling- 
lastig. Im Unterschied zu den 
bisherigen Vorsitzenden besetzt 
mit Apotheker, der fünf Spra- 
chen beherrscht, erstmals ein 
Nichttechniker den Chefsessel. 
Es wird deshalb allgemein mit 
einer stärkeren Marketing- und 
Verkaufsorientierung des Soft- 
warekonzerns aus Walldorf 
gerechnet. 

Die jüngste Vergangenheit 
war von Entwicklungsaktivitä- 
ten - im SAP-Jargon Innovatio- 
nen — geprägt, darunter dem 
Einzug der serviceorientierten 
Softwarearchitektur in die ei- 
gene Anwendungslandschaft 
und der neuen, von Grund auf 
prozess- und serviceorientiert- 
entworfenen Lösung für den 
Mittelstand (Business ByDe- 
sign) samt einem neuen SaaS/ 
On-Demand-Geschäftsmodell. 

Jetzt soll die Ernte eingefah- 
ren werden. Da ist ein harter 
Controller mit Blick auf die 
Quartalszahlen für die Aktio- 


näre wichtig. Auch wenn es in 
nächster Zeit keine radikalen 
Änderungen in der Unterneh- 
mensstrategie geben soll, deu- 
ten erste Äußerungen von 
Apotheker einen leichten Rich- 
tungswechsel an. Sein Credo 
lautet, dass sich Investitionen 
rechnen beziehungsweise beim 
Kunden ankommen (vulgo: ab- 
setzbar sein) müssen. Zudem 
kündigte er in einen FAZ- 
Interview an, die Entwick- 
lungskosten für neue Software, 
die zuletzt 14 % vom Umsatz 
erreicht hatten, künftig wieder 
auf frühere Größenordnungen 
stutzen zu wollen. 

Dass es bei SAP künftig ver- 
stärkt ums Verdienen geht, 
zeigte die unlängst verkündete 
Neuordnung der Wartungskon- 
ditionen für Neukunden. Er- 
hielt man bislang mit jähr- 
lichen Gebühren von 17 % des 
Lizenzpreises einen Basissup- 
port, steht seit Februar allein 
noch der zuvor als Premium 
beworbene Enterprise-Support 
für jährlich 22% zur Wahl. 
Selbst wenn SAP in puncto 
Wartungskosten nur mit dem 
Erzkonkurrenten Oracle gleich- 
zieht, dürften SAP-Anwender 
über diesen Schritt kaum glück- 
lich sein. 

Aber auch für die Mitarbei- 
ter zeichnet sich ein raueres 
Klima ab. Denn im Vergleich 
zum ruhigen, kühlen Kager- 
mann zeichnen den Chef in 
spe mehr Temperament und 
Härte in der Sache aus. Es ist 
deshalb damit zu rechnen, 
dass etwa Entwickler bei ver- 
passten Ziel- und Zeitvorga- 
ben auf weitaus weniger Ver- 
ständnis als bislang hoffen 
dürfen. 

All diese Maßnahmen dienen 
letztlich dem Ziel, spätestens 
Ende 2010 eine Umsatzrendite 
von 35 % zu erreichen. (WM) 


Die Doppelspitze soll’s bringen: Henning Kagermann (links) und 
Leo Apotheker (rechts) wollen SAP ein Jahr zusammen führen, 
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MARKT + TRENDS 


Wirtschaft 


Weltweiter Server-Markt: Mehr Verkäufe 


Im vergangenen Jahr konnten 
die Hersteller weltweit mit 8,8 
Millionen Servern rund 7,4 % 
mehr Systeme an den Kunden 
bringen. Allerdings legten die 
Umsätze nicht im Gleichschritt 
zu; sie wuchsen nur um 3,8 % 
auf circa 54,8 Mrd. $. Innerhalb 
der einzelnen Serverklassen hat 
Gartner Dataquest allerdings 
unterschiedliche Entwicklun- 
gen registriert. So gibt es bei 
den RISC/Itanium-basierenden 
Unix-Servern eindeutig die 
Tendenz zu kostspieligen Sys- 
temen, da die Auslieferungen 
um 13,8 % zurückgingen, ob- 
gleich die Einnahmen um 
1,7 % zulegten. Um 44,5 % 
steigerten sich die Umsätze mit 
Blade-Servern, auch wenn man 
nur knapp 20 % mehr Systeme 
ausliefern konnte. Dabei domi- 
nieren HP mit 41,7 % und IBM 


nach Umsützen 


IBM 170 31,1 
HP 15,5 28,3 
Dell E2 114 
Sun 59 10,8 
FSC 2,4 4,5 
andere 7,6 13,9 


gesamt 


mit 30,9 % Anteil an den Ver- 
käufen eindeutig diese Server- 
Segment. 

Mit Blick auf den Gesamt- 
markt ist IBM mit 17 Mrd. $ 
weiterhin die Nummer eins in 
der Rangliste der umsatzstärks- 
ten Hersteller, es folgt HP mit 
15,5 Mrd. $. Dell verdrängte 
im vergangenen Jahr Sun vom 
dritten Platz. Die umsatzstärks- 
ten Anbieter konnten im Ver- 
gleich zum Vorjahr nahezu alle 
zulegen. Allein FSC wies ei- 
nen Einnahmenrückgang auf. 
Zieht man dagegen die Auslie- 
ferungen heran, sind Sun und 
IBM die Wachstumsverlierer. 
Ansonsten gibt es im Ver- 
gleich zum Vorjahr keine Ver- 
änderung in puncto Rangfolge. 
Es führt weiterhin HP vor Dell, 
während IBM nur als dritt- 
größter Lieferant gelistet wird. 


16,9 320 0,8 
142 270 8,8 
5,5 10,5 132 
5,7 10,8 35 
25 48 15 
18 149 37 


nach Auslieferungen 


HP 2636 


Dell 1894 

IBM 1282 14,5 
Sun 338 3,8 
FSC 29 3,3 
andere 2396 27,1 
gesamt 8841 100 


21] 16,6 
a7 2 
15,7 0,9 
45 83 
3] 13,9 
216 56 
100 14 


Die Bielefelder Itelligence AG, 
Dienstleister im SAP-Umfeld, 
freut sich über ein Umsatz- 
wachstum von 16,5 % auf 
190,9 Mio. €. Mit dem Jahres- 
abschluss wurden die Erwar- 
tungen deutlich übertroffen, die 
zuvor bei 175 bis 185 Mio. € 
lagen. Das operative Ergebnis 
erreichte einen Wert von 11,5 
Mio. € (+62,0 %). Die größte 
Umsatzsteigerung erzielte der 
Bereich Beratung, mit einem 
Plus von +18,3 % auf 113,1 
Mio. €. In Folge bleibt das 
Segment mit nunmehr 59,2 % 
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stärkster Unternehmensbereich. 
Mit Lizenzen wurden 23,8 
Mio. € (+15,5 %) Umsatz er- 
zielt. Das Segment Outsourcing 
& Services steuerte 53,6 Mio. € 
(+14,3 %) zu den Einahmen 
bei. Wie in den vergangenen 
Jahren bildeten Deutschland 
und Österreich die umsatzstärks- 
te Region. In diesen Ländern 
wurde ein Anteil von 96,3 
Mio. € (+34,7 %) des Gesamt- 
umsatzes erwirtschaftet. Ame- 
rika steuerte 23,9 %, Westeuro- 
pa 16,6 % (Vorjahr: 17,3 %) 
und Osteuropa 7,4 % bei. 


Red Hat bleibt offen für Geschäfte 


Red Hat bewies wieder, dass 
sich mit Open Source durchaus 
gute Geschäfte machen lassen. 
Den Umsatz im Geschäftsjahr 
2008 (Abschluss 29. Februar) 
konnte der Linux-Distributor 
um 31 % auf 523 Mio. $ aus- 
bauen. Der Subskriptionsum- 
satz kletterte um 32 % auf 
449,8 Mio. $. Der Nettogewinn 
nach US-GAAP lag mit 76,8 
Mio. $ rund 28 % höher als im 
Vorjahr. Ohne Berücksichti- 
gung von Einmalbelastungen 
und Sonderfaktoren betrug der 
Gewinn 152,9 Mio. $, nach 
115,9 Mio. $ im Jahr 2007. 


Dass auch künftig die Geschäf- 
te mit Unternehmenskunden 
gut laufen, zeigt die Entwick- 
lung des „deferred revenue“. 
Diese im deutschen Rech- 
nungswesen als passiver Rech- 
nungsabgrenzungsposten be- 
zeichnete Bilanzgröße legte um 
40 % auf rund 472 Mio. $ zu. 
Der RAP nennt den Wert be- 
reits erhaltender Zahlungen für 
Leistungen, die wie bei mehr- 
jährigen Subskriptionsverträ- 
gen noch in den kommenden 
Bilanzperioden anfallen und 
deren Umsätze erst zu diesem 
Zeitpunkt verbucht werden. 


GFT Technologies weiterhin erfolgreich 


Mit 247,1 Mio. € lag der Ge- 
samtumsatz der GFT Techno- 
logies AG 42 % über dem Vor- 
jahreswert. Entsprechend stieg 
das Ergebnis vor Steuern um 
85 % auf 12,4 Mio. €. Mit 
140,4 Mio. € war Resourcing 
der umsatzstärkste Geschäfts- 
bereich; sein Anteil am Gesamt- 
umsatz beträgt nun rund 57 %. 
Dieser Geschäftsbereich wurde 
im vergangenen Jahr auf die 
Standorte London und Zürich 
ausgeweitet. Der anhaltende 


Mehr Umsatz, mehr IT 


Unternehmen, die eine im 
Branchendurchschnitt höhere 
Rendite erzielen, investieren 
3,4 % mehr in IT. Rendite- 
schwache Unternehmen hinge- 
gen beschneiden sogar ihre IT- 
Budgets im Vergleich zum 
Vorjahr. Zu diesem Ergebnis 
kommt die IT-Studie 2008, die 
das Handelsblatt und die Un- 
ternehmerberatung Droege & 
Comp. im März vorstellten. 
Laut den Antworten der 359 
befragten Firmen mit Sitz in 
Deutschland, Österreich und 
der Schweiz werden vermehrt 


Fachkräftemangel sowie die 
Tendenz, IT-Projekte flexibel 
mit freiberuflichen IT-Spezialis- 
ten zu besetzen, lässt das GFT- 
Management hier auf weiter- 
hin gute Geschäfte hoffen. Auch 
mit Services erzielte die GFT- 
Gruppe 2007 ein ordentliches 
Wachstum. Die Einnahmen leg- 
ten um 22 % auf 100,8 Mio. € 
zu. Die Unternehmenssparte 
Software schloss dagegen bei 
einem Umsatz von 5,9 Mio. € 
unter den Erwartungen ab. 


Aufgaben an externe Helfer ab- 
gegeben. Wie in den Vorjahren 
steht die IT-Infrastruktur oben 
auf der Agenda der Investi- 
tionsprojekte in den Unterneh- 
men. Bei den Ausgaben für 
Anwendungen hat sich dage- 
gen eine leichte Verschiebung 
ergeben. Hatte im Vorjahr die 
Stärkung des Vertriebs die 
Budgets geprägt, steht in die- 
sem Jahr die Produktion mit ei- 
nem Budgetanteil von 22 % im 
Mittelpunkt der Investitionen. 
Ansonsten ist im RZ das große 
Aufräumen angesagt. 


Welttbewerb: „Deutscher Internetpreis” 


Mitte März gab der Bitkom den 
Startschuss zum diesjährigen 
Wettbewerb „Deutscher Inter- 
netpreis“, der unter dem Slogan 
„Mittelstand interaktiv“ steht. 
Kleine und mittlere Unterneh- 
men, die innovative Internet- 
Anwendungen erfolgreich nut- 
zen, können ihre Teilnahme bis 
1. August 2008 online anmel- 
den. Die Wettbewerbsbeiträge 


müssen sich dabei auf die An- 
wendungsbereiche interaktive 
Kommunikation, digitale Ge- 
schäftsprozesse sowie mobile 
Businessmodelle im Mittelstand 
beziehen. Die drei siegreichen 
ITK-Anwendungen werden mit 
25 000, 20000 und 15000 Euro 
prämiert. Die Teilnahmebedin- 
gungen finden Interessierte unter 
www .deutscher-internetpreis.de. 
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Interaktives Web 


Software für Onlinefsi oren 


Streitkultur, 


Detlef Hüttemann, 


Andreas Gohr, Tilo. Baller _ 


Die Lust, im Internet spontan seine Meinung zu äußern, 
hat Onlineforen einen anhaltenden Schub versetzt. 
Dementsprechend vielfältig sind die Softwaresysteme 
zur Einrichtung der Foren. Eine Marktübersicht mit 
exemplarischen Ausflügen. 


as einst im akademischen Um- 
feld mit Netnews und Mailing- 
listen begann, hat sich heute 


im privaten und kommerziellen Bereich 
breit durchgesetzt. Onlineforen sind in 
Unternehmen für den Kundensupport 
einsetzbar; zur Diskussion auf Medien- 
Sites und zur Selbstdarstellung bei- 
spielsweise von Schulen und Vereinen 
dienen sie als Basis, um Diskussionen 
zu strukturieren. 

Nach einem Überblick über typische 
und sinnvolle Features moderner Foren- 
systeme stellt dieser Artikel die folgen- 
den acht Applikationen detaillierter vor: 
punBB, phpBB, Vanilla, Unclassified 
Newsboard, vBulletin, Burningboard, 
JForum und YetAnotherForum.Net. Vie- 
le weitere etablierte Applikationen sind 
auf dem Markt verfügbar — eine On- 
lineübersicht bietet beispielsweise For- 
ummatrix [a]. 

Onlineplattformen für Foren bezie- 
hungsweise Bulletinboards gibt es viele, 
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das Nutzungsprinzip ist jedoch bei al- 
len Systemen weitestgehend gleich: Ei- 
ne Person eröffnet eine Diskussion 
(Thread), indem sie einen Beitrag (Pos- 
ting) schreibt. Andere Personen lesen 
diesen und schreiben ein Antwort-Pos- 
ting — oder eine Antwort auf eine Ant- 
wort, womit die Diskussion bereits im 
Gange ist. 


Moderation der Foren 


Das wichtigste Unterscheidungskrite- 
rium der Systeme ist die Art, wie die 
Beiträge angeordnet sind: entweder 
hierarchisch als Baum oder chronolo- 
gisch sortiert. Hierarchische Ansichten 
stellen zwar den Bezug zum jeweiligen 
Vorredner klar, können aber zu ent- 
koppelten Teildiskussionen führen. Bei 
einer chronologischen Anordnung da- 
gegen fehlt die direkt logische Ver- 
knüpfung zwischen zwei Beiträgen. 


Sobald auf ein älteres Posting geant- 
wortet wird, muss der Diskussionsteil- 
nehmer den Bezug zum Vorredner 
über Zitate herstellen; Zitatfunktionen 
der Software erleichtern dies. 

In der Regel erwartet ein Anwender, 
dass er seine Diskussionsbeiträge unge- 
filtert und unverzüglich veröffentlichen 
kann. Es ist naheliegend, dass dies 
Spammer anzieht wie Motten das Licht 
— die Forensysteme kontern mit Ab- 
wehrmechanismen. Gegen einzelne 
Spammer oder notorische Nörgler hel- 
fen kurzfristig IP-Bannlisten. Automati- 
sierten Spambots wird mit Flood Con- 
trol (Kontrolle der Anzahl der Beiträge 
in einem Zeitraum) und Captchas mehr 
oder minder erfolgreich Widerstand ge- 
leistet. Gelangt dennoch ein offensicht- 
lich fragwürdiger Beitrag an die Öffent- 
lichkeit, bleiben Moderationswerkzeuge 
als Ultima Ratio, um den unerwünsch- 
ten Content zu entfernen. 

Grundsätzlich kann der Betreiber 
Beiträge nachträglich editieren oder gan- 
ze Diskussionsstränge löschen. Auch 
wenn einem der Eingriff in die freie 
Meinungsäußerung missfällt — wer ein 
Diskussionsforum betreibt, kann für von 
Benutzern eingestellte beleidigende oder 
strafbare Inhalte haftbar gemacht wer- 
den. Sofern er als Betreiber über die In- 
halte in Kenntnis gesetzt wurde, ist er 
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zur Löschung des Beitrages verpflichtet 
[b]. Der unmittelbar folgende Artikel 
„Forensisch“ reflektiert den aktuellen 
Stand der Rechtsprechung. 

Bei einem anderen Verfahren geht 
es um die Anordnung der Threads: 
Markiert ein Moderator einen Thread 
als sticky, steht er in den Übersichtssei- 
ten ganz oben — normalerweise listen 
die Systeme aktuelle Threads zuerst. 
Sticky Threads enthalten häufig grund- 
sätzliche Informationen wie Netiquet- 
te, Nutzungsbedingungen oder FAQs. 
Sticky-Threads lassen sich — wie alle 
anderen Threads auch - schließen, wo- 
bei eingestellte Inhalte sichtbar bleiben, 
Benutzer können sie aber nicht mehr 
weiter diskutieren. 


Customizing und Security 


Mit einem weiteren Moderationswerk- 
zeug lassen sich einzelne Threads auf- 
teilen (Split Thread): Schweift eine 
Diskussion stark vom Thema ab, kann 
ein Moderator einzelne Beiträge in ei- 
nen komplett neuen Thread abspalten; 
das hilft Übersichtlichkeit zu erhalten 
und Neuankömmlingen den Einstieg 
zu erleichtern. Um von vornherein ei- 
ne inhaltliche Struktur zu bekommen, 
kann man Kategorien festlegen, unter- 
halb derer sich die eigentlichen Threads 
einordnen. 

In der Regel ist es der Wunsch des 
Betreibers, ein prominentes und viel 
besuchtes Forum zu erhalten. Suchma- 
schinenfreundliche URLs, die den Be- 
treff des Thread enthalten, können für 
ein besseres Ranking sorgen. Während 
die „Benutzersicht‘“ normalerweise lan- 
ge Diskussionen auf mehrere blätterba- 
re Seiten verteilt, bilden LoFi-Views 
komplette Themenstränge in reduzier- 
ter Form auf Einzelseiten ab. Sie ent- 
halten damit hohe Verdichtungen von 
Inhalten und Schlagwörtern, ohne Such- 
maschinen-Bots, beispielsweise durch 
Navigationselemente, zu verwirren. 
Zudem werden diese Views häufig als 
statische HTML-Seiten abgelegt, um 
den Server zu entlasten. 

Um ein Forum gestalterisch dem 
Thema anzugleichen, lassen sich mit 
einem Skin-Editor im begrenzten Um- 
fang Farben und Fonts anpassen — wer 
mehr will, muss selber Hand anlegen. 
Hilfreich für die Gestaltung ist es, 
wenn der benötigte (HTML)-Code ge- 
trennt von den Implementationsfunk- 
tionen vorliegt (Template-Konzept). 
Einige Forensysteme bieten Unterforen 
an, die durch individuelle Templates 
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gestalterisch anzupassen sind. Zu groß 
darf allerdings die Erwartungshaltung 
an das Design nicht sein, der Grund- 
aufbau ist bei fast allen Foren gleich: 
Breadcrumbe-Navigation, Forumliste, 
Thread-Liste und Statistiken bestim- 
men das Bild. 

Soll neben der Layout-Anpassung ei- 
ne Integration in einen bestehenden 
Web-Auftritt erfolgen, wird’s richtig 
schwierig. Zwar bieten die meisten Sys- 
teme Content Syndication via RSS an, 
sodass zumindest die Inhalte eines Fo- 
rums in anderen Websites annonciert 
werden können. Eine Möglichkeit, ak- 
tiv zu diskutieren, ergibt sich hierdurch 
aber nicht. Forensysteme besitzen in 
der Regel eigene Implementierungen 
für die Verwaltung der Postings und 
Threads sowie für die Nutzer und 
ACLs. Offene APIs sind selten. Zumin- 
dest für Single-Sign-On (SSO) oder die 
Delegation der Authentifizierung an an- 
dere Unternehmensanwendungen findet 
man sporadisch Unterstützung. 

Foren lassen sich mit individuellen 
Zugriffsrechten für das Lesen und 
Schreiben von Beiträgen für einzelne 
Nutzer ausstatten. Wer dieses exzessiv 
betreibt, freut sich über Benutzergrup- 
pen. Hier werden die Lese- und Schreib- 
rechte initial für frei definierbare 
Gruppen vergeben. Die administrative 
Arbeit bei der Verwaltung der Benut- 
zer beschränkt sich dann darauf, diese 
den passenden Gruppen zuzuordnen. 

Foren sind wie alle Webapplikatio- 
nen einem erhöhten Angriffsrisiko 
ausgesetzt. Wenn eine anonyme Anmel- 
dung ausreicht, kann ein Angriff poten- 
ziell sogar „‚von innen heraus“ erfolgen, 
also von angemeldeten Usern der Com- 


A-TRACT 


@ Forensoftware hat als Kommuni- 
kationsbasis die klassischen 
Usenet/Newsgroups fast vollstän- 
dig verdrängt. 


© Es gibt ein großes Angebot an 
kostenloser oder preiswerter Foren- 
software. 


© Die äußere Erscheinungsform ist 
weitgehend ähnlich, nur wenige 
Produkte entziehen sich der 
Konformität. 


e Als Programmierparadigma 
werden Skiptsprachen wie PHP 
und objektorientierte Frameworks 
wie Java- und .Net eingesetzt. 


munity. In der Vergangenheit zeigten 
sich die Systeme besonders anfällig 
gegenüber Cross-Site Scripting und Re- 
mote Code Injections — Angriffsmetho- 
den, bei denen unzureichend geprüfte 
User-Eingaben schadhaften Code in 
das System schleusen. 

Eine besonders beliebte Angriffs- 
technik stellt das „Cross-Site Request 
Forgery“ (CSRF) dar: Hierbei nutzt der 
Angreifer die in allen Foren vorhande- 
ne Funktion, einen Link in einem Bei- 
trag zu schreiben. Dieser Link ist nun 
so konstruiert, dass er auf eine Admi- 
nistrationsfunktion des Forums selbst 
zeigt - beispielsweise auf die Funktion 
zum Hinzufügen eines Nutzers zur Ad- 
ministratorgruppe. Der Link lässt sich 
mittels BBCode tarnen und in einem 
Neugier weckenden Zusammenhang 
posten. Sobald ein angemeldeter Ad- 
ministrator auf den präparierten Link 
klickt, wird die gewünschte Aktion aus- 
geführt. Glücklicherweise sind die meis- 
ten Forensysteme inzwischen vor sol- 
chen Angriffen geschützt. 


Das Karma 
der Teilnehmer 


Bei den Editoren zum Verfassen von 
Beiträgen erwarten die Benutzer einer- 
seits Formatierungsmöglichkeiten, an- 
dererseits ist die Eingabe von HTML- 
Code weder benutzerfreundlich noch 
unter Sicherheitsaspekten verantwortbar. 
Die meisten Systeme setzen eine Mark- 
up-Sprache namens BBCode für typi- 
sche Formatierungen (fett, kursiv) ein. 
Für darüber hinausgehende Funktionen 
kocht letztendlich jedes Forensystem 
sein eigenes Süppchen. Neben den 
Auszeichnungen, die sich unmittelbar 
in HTML-Markup übersetzen lassen, 
gibt es Funktionen wie die oben bereits 
erwähnte Zitatfunktion; viele Systeme 
erlauben zudem die Definition eigener 
Markups: Einige Forensysteme bieten 
komplette WYSIWYG-Editoren an. 

Unter Umständen kann es sinnvoll 
sein, den Teilnehmern zusätzliche Funk- 
tionen neben dem eigentlichen Diskutie- 
ren zur Verfügung zu stellen. Beliebt ist 
die Möglichkeit, Umfragen hinzuzufü- 
gen. Mitglieder können zwischen den 
vorgegebenen Antworten wählen — das 
System übernimmt die Zählung und gra- 
fische Auswertung der Stimmen. Viele 
Systeme erlauben es, Dateien an einen 
Beitrag zu hängen. Welche Dateiforma- 
te und -größen erlaubt sind, lässt sich in 
der Regel in der Administrationsoberflä- 
che konfigurieren. 
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write your message and zubrmit 


BuBIeeE 


Mesunge 


punBB mag es 
minimalistisch - 
= Funktionen zum 
Erstellen von 


Da Webforen immer auch ein Ort 
der Selbstdarstellung sind, können User 
bei Bedarf dem eigenen Profil Avatare 
zuordnen. Über Ranking-Systeme kann 
die Aktivität eines Benutzers im Forum 
aufgezeigt werden; manche Foren bieten 
auch an, einzelne Posts oder Threads zu 
bewerten. Höher bewertete Threads sor- 
gen für ein besseres Ranking in Über- 
sichtsseiten und steigern das Karma des 
Diskutanten. 

Der Mehrwert eines Forums be- 
steht darin, der Allgemeinheit Mei- 
nungen und Kenntnisse kundzutun. 
Trotzdem sind in manchen Situatio- 
nen direkte, von der Öffentlichkeit un- 
bemerkte Nachrichten zwischen Foren- 
teilnehmern hilfreich. 

Bei diesem Private Messaging (PM) 
landen die Nachrichten in einer foren- 
internen Mailbox; der Empfänger kann 
sich bei neuen Nachrichten durch 
E-Mail informieren lassen. Neben die- 
sen PM kann der Teilnehmer Abonne- 
ments anlegen, um über neue Forenbei- 
träge informiert zu werden; wahlweise 
bei allen neuen Beiträgen in einem Fo- 
rum oder nur bei Antworten auf eige- 
ne Beiträge. Dabei verhalten sich alle 
vorgestellten Systeme intelligent ge- 
nug, die User nicht zuzuspammen, 
sondern nur eine Benachrichtigung bis 
zum nächsten Besuch zu versenden. 

Forensysteme sind in ihrer Bedie- 
nung und Anwendung im hohen Maße 
standardisiert; die Grundfunktionen ei- 
nes Forums lassen sich mit modernen 
Entwicklungswerkzeugen schnell selbst 
entwickeln. Wer so etwas vorhat, sollte 
aber wissen, dass diese Standardisie- 
rung eine entsprechende Erwartungs- 
haltung von Benutzern, Moderatoren 
und Administratoren zur Folge hat. 
Zwar fängt man in der Regel klein an 
und posted und moderiert nach Leibes- 
kräften selber. Wenn aber endlich die 
kritische Masse erreicht ist und das Fo- 
rum prominent ist, Können oder müssen 
weitere Moderatoren die Arbeit über- 
nehmen. Spätestens dann sind ausge- 
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Umfragen oder eine 
BBCode-Toolbar 
sucht man vergebens 
(Abb. 1). 


reifte Pflegewerkzeuge vonnöten und 
der Einsatz eines „professionellen“ 
Systems ist zu empfehlen. 


WE punBB 


Ein verbreitetes Forensystem ist punBB, 
weil es vor allem besonders einfach und 
genügsam ist. Es hat den Anspruch, sich 
auf die wesentlichen Funktionen eines 
Forums zu beschränken, was sich in der 
Standardinstallation widerspiegelt. Fea- 
tures wie das Splitten von Beiträgen, 
Datei-Uploads oder Umfragen sucht 
man hier vergeblich; eine Toolbar zum 
Formatieren der Beiträge fehlt ebenso. 
Allerdings gibt es dank der Popularität 
von punBB eine große Anzahl von Er- 
weiterungen und Themes. 

punBB erlaubt die Integration von 
Admin-Plug-ins, eine einfache Metho- 
de, neue Funktionen in die Administra- 
tionsoberfläche zu integrieren. Funk- 
tionen im Frontend hingegen werden 
über sogenannte Mods eingebunden. 


Dabei handelt es sich im Wesentlichen 
um eine Beschreibung, wie und an 
welchen Stellen der Original-Source- 
code zu erweitern ist: Ein aufwendi- 
ger, aber überschaubarer Vorgang. 

Kompliziert wird es hingegen beim 
Update. Sollen bisherige Modifikatio- 
nen erhalten bleiben, empfiehlt sich ein 
Update der Software über die vom Ent- 
wickler zur Verfügung gestellten diffs: 
Ein Prozess der wohl nur eingefleisch- 
ten Unix-Admins leicht von der Hand 
geht. Alle anderen müssen eben die 
Modifikationen bei jedem Update von 
Hand nachziehen. 

Das in PHP geschriebene punBB ist 
GPL-lizenziert und speichert seine Da- 
ten wahlweise in einer MySQL-, Post- 
greSQL- oder SQLite-Datenbank. 


u phpBB 


phpBB ist wohl das populärste Open- 
Source-Forum. Erst im Dezember er- 
schien die neue Version 3.0 — Source- 
code und Features sind komplett 
überarbeitet. Wie der Name andeutet, 
ist phpBB in PHP geschrieben und 
unterstützt zur Datenspeicherung mit 
MySQL, PostgreSQL, SQLite, Fire- 
bird, Microsofts SQL Server und Ora- 
cles RDBMS eine große Auswahl an 
Datenbanken. 

Neben dem neuen, moderneren De- 
sign haben die Entwickler viele bisher 
nur als Add-on verfügbare Features der 
Standardinstallation hinzugefügt. Da- 
zu gehören unter anderem selbst kon- 
figurierbare BBCodes, Datei-Uploads, 
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phpBB geizt nicht 
mit Optionen und 
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integriertes Caching sowie verbesserte 
Moderationsmöglichkeiten. Zudem setzt 
phpBB komplett auf UTF-8 als Zei- 
chensatz. Unerklärlich hingegen ist, wa- 
rum man auf die Unterstützung von 
RSS-Feeds verzichtet hat. 

Mussten bisher Add-ons von Hand in 
den Sourcecode eingepflegt werden, un- 
terstützt die neue Version ein „Hook“- 
System, das Plug-ins ohne Core-Modifi- 
kationen in die Applikation integriert. 
Durch den kürzlichen Versionssprung 
sind viele Themes und Addons noch 
nicht kompatibel mit dem neuen Sys- 
tem, dennoch stehen bereits jetzt viele 
Erweiterungen zur Verfügung: bei — 
nach eigenen Angaben — mehreren 
Millionen Installationen ist die Entwick- 
lergemeinde eben entsprechend groß. 


z Vanilla 


Vanillas erstes Release wurde 2005 vor- 
gestellt und traf damit genau die entste- 
hende Web-2.0-Welle. Statt wie andere 
Foren auf der Startseite eine Übersicht 
der verschiedenen Kategorien zu geben, 
begrüßt einen Vanilla gleich mit den 


Vanilla stellt 

die aktuellen 
Diskussionen in 
den Vordergrund 
und verbannt 

die klassische 
Kategorienansicht 
von der Startseite 
(Abb. 3). 
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Produkte phpBB punBB vBulletin JForum UNB Vanilla Burning Board YetAnotherForum.NET 
URL phpbb.com punbb.org vbullefin.com jforum.net newsboard. getvanilla.com woltlab.de/ yetanotherforum.net 
undassified.de products/ 
burning_board/ 
Lizenz GPL GPL proprietär BSD GPL GPL proprietür GPL 
Kosten keine keine 79 € /lahı, keine keine keine 50-200 €, keine 
149 € kostenlose 
Vollversion „Light”.Version 
UTF-8-Support ja nein nicht per ja ja ja ja ja 
default 
Datenbank MySal, MySQL, MySQL MySal, MySQL MySQL MySQL MS SQL Server 
PostgreSQL, PostgreSQL, PostgreSQL, 
Oracle, Firebir, SQlite Oracle, HSQLDB, 
SQlite MS SQL Server 
Programmiersprache PHP PHP PHP Java PHP PHP PHP C# und ASP.Net 
Struktur/Typ flach flach flach/threaded flach flach flach flach flach/threaded 
verschachtelte Subforen unbegrenzt nein unbegrenzt nein unbegrenzt nein unbegrenzt ja 
Me 1 17) 7 
Split Thread ja nein ja nein ja nein ja nein 
Sticky Thread ja ja ja ja ja ja ja ja 
Close Thread ja ja ja ja ja ja ja ja 
Ma (17) 1 
Templates ja ja ja ja ja ja ja ja 
Skin-Editor ja nein ja nein nein nein ja nein 
Plugins ja nein (nur Admin- ja nein ja ja ja nein 
Interface) 
K—aaaa-E— 
IP-Block ja ja ja ja nein nein ja ja 
Ban User ja ja ja ja ja (über Gruppen- ja ja ja 
mitgliedschaft) 
Flood Control ja ja ja ja ja ja ja ja 
Captcha ja nein ja ja ja nein ja nein 
I 1 1112117 7 BE 
Groups ja ja ja ja ja ja ja ja 
ACL ja nein ja ja ja ia ja ja 
LoFi View ja nein ia nein nein nein nein nein 
Funktionen für die cm 
Rating/Karma nein nein ja ja nein nein ja nein 
Umfragen ja nein ja ja ja nein ja ja 
Unread Topics post visit post visit post post post visit 
Custom BBCode ja nein ja ja nein nein (HTML erlaubt) nein 
WYSIWYG/BBCode Toolbar Toolbar nein Toolbar Toolbar Toolbar nein WYSIWYG Toolbar 
Private Messaging ja nein ja ja ja ja (whispering) ja ja 
Dateianhänge ja nein ja ja ja ja ja ja 
RSS/ATOM nein ja ja ja ja ja ja ja 


aktuellen Diskussionen - egal aus wel- 
cher Kategorie. Der Fokus wird also, 
ganz Web 2.0, bewusst auf die Benut- 
zerbeiträge gelegt. RSS-Feeds kann 
Vanilla nicht nur für das ganze Forum 
oder einzelne Kategorien, sondern auch 
für einzelne Threads ausliefern. 

Auch Vanillas Extension System er- 
laubt das Erweitern des Systems ohne 
Core-Modifikationen. Während es eine 
relativ große Auswahl an fertigen Plug- 
ins gibt, ist die Anzahl der verfügbaren 
Themes eher begrenzt. 

Ein besonderes Feature ist das 
„Whispering“. Es erlaubt das „Flüs- 
tern“ von Posts nur an einem bestimm- 
ten Diskutanten: Private Messaging im 
Web 2.0. Ein derartiger Post fügt sich 
ganz normal in den Diskussionsfluss 
ein, aber nur direkt Angesprochene 
können ihn sehen. Mittels dieser Me- 


> 
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thode kann man beispielsweise Kom- 
mentare abgeben, ohne einen Flame- 
war gleich wieder anzuheizen. 

Erwähnenswert ist zudem, dass Va- 
nilla den Titel eines Diskussionsstrangs 
in die URL integriert - Suchmaschinen 
belohnen solche sprechenden URLs. 
Vanilla setzt wie viele andere Systeme 
auf PHP und MySQL auf. Der Code 
steht unter der GPL-Lizenz. 


Unclassified NewsBoard (UNB) ist ein 
noch relativ unbekanntes Open-Source- 
Forensystem. Es setzt auf die Kombi- 
nation aus PHP und MySQL. Haupt- 
augenmerk legten die Entwickler 
darauf, dass direkt nach der Installation 


Unclassified 
Newsboard 


ein mit allen typischerweise benötigten 
Features ausgestattetes System vorliegt. 
Neben Moderationswerkzeugen, einer 
BBCode Toolbar, Umfragen, File Up- 
loads und RSS Support gehören weni- 
ger häufige Features wie integrierte 
Statistiken, Bookmarking und Benach- 
richtigungen über Jabber zum Stan- 
dardfunktionsumfang. Nutzer schätzen 
vor allem den individuellen Lesestatus 
für jeden Post. 

Zudem erlaubt UNB beliebig tief 
verschachtelte Subforen, besonders 
große oder mehrsprachige Communi- 
ties profitieren davon. Zusätzlich zum 
Markieren von Posts als „sticky“ kön- 
nen Moderatoren in jedem Forum „An- 
nouncements“ posten, die auf Wunsch 
auch in Subforen zu sehen sind. Ein 
komplexes ACL-Management erlaubt 
es, einzelne Forenrechte detailliert zu 
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vBulletin erlaubt 
neben der 
dominierenden 
flachen Ansicht auch 
das Einblenden der 
Diskussionsstränge 
in einem Threaded 
View (Abb. 5). 


Join Damm: May 2003 
Pasta: 591 
u” 


Originally Posted by eXtremeTim 


[2PFnooks t9.0ckl acp user pormissions. 


modify the permission field in ine DB. ®& 


Maybe we're still missing a step? 


On # side note requasting hoaks In the acp to ba able to add new usergroup permissions easiiy 


We tackled tnis tonlaht and found you can make a new option for group permissions show up by 
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Woltiat Buming Board erlaubt % 


cr 


Woltlabs Burning 
Board ermöglicht die 
Formatierung von 
Posts über den 
integrierten 
WYSIWYG-Editor 
(Abb. 6). 


emfortabies WYSIWYG Etting 


je} o 


2 see 


konfigurieren — vordefinierte Rechte 
(Mitglied, Moderator, Administrator) 
vereinfachen den Einstieg. 

Erwähnenswert ist der durchgängi- 
ge UTF-8-Support; leider noch keine 
Selbstverständlichkeit bei Forensyste- 
men. Über Themes und Plug-ins kann 
man das Forum erweitern und anpas- 
sen, ohne Modifikationen am Corecode 
vornehmen zu müssen. Abstriche muss 
man jedoch bei der Anzahl der bereits 
verfügbaren Plug-ins und Themes ma- 
chen. Neben dem deutsch- und eng- 
lischsprachigen Supportforum gibt es 
Business-Support auch direkt vom 
Entwickler. 


WE vBulletin 


vBulletin setzt ebenfalls auf PHP und 
MySQL, wird aber anders als die bis- 
her vorgestellten Systeme nicht unter 
einer Open-Source-Lizenz vertrieben. 
Dennoch erfreut es sich großer Beliebt- 
heit und gilt vielen Open-Source-Foren 
als Vorbild. 

Die hinter vBulletin stehende Firma 
Jelsoft Enterprises Ltd. bietet zwei 
unterschiedliche Lizenzmodelle an. 
Beim Kauf einer Vollversion erhält man 
ein Jahr lang kostenlose Updates und 
kann die Software unbegrenzt lange 
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einsetzen. Als Alternative gibt es die 
preiswertere Einjahreslizenz, die man 
als Betreiber allerdings jedes Jahr er- 
neuern muss. Beide Lizenzen enthalten 
kostenlosen E-Mail-Suppott. 

vBulletin bietet eine Vielzahl von 
Features, die man in anderen Foren erst 
über Plug-ins oder Erweiterungen nach- 
rüsten muss. Die dazugehörigen Konfi- 
gurationsoptionen erfordern zwar eini- 
gen Aufwand, machen vBulletin aber 
letztlich flexibel anpassbar. 

Sollten dennoch Funktionen fehlen, 
kann man Erweiterungen über das 
vorhandene Plug-in-System installie- 
ren, Quellcode-Änderungen bleiben 
einem so erspart. Das Aussehen lässt 


sich über die Installation von Templates 
anpassen. Kleinere Designänderungen 
können über den integrierten Style- 
Editor vorgenommen werden. Eigene 
BBCodes lassen sich ebenfalls im Ad- 
ministrations-Backend definieren. Ad- 
ministratoren großer Foren dürften 
vor allem die für Suchmaschinen opti- 
mierte LoFi-Archivansicht schätzen. 

Derzeitiges Manko ist die stan- 
dardmäßig nicht aktivierte UTF-8- 
Unterstützung. Nur wer weiß, wie 
es geht, kann vBulletin mit UTF-8 
betreiben [c]. Erst die Version 4.0 soll 
dies ändern. 


WE Burning Board 


Das Burning Board der Berliner Firma 
Woltlab erfreut sich nicht nur in 
Deutschland großer Beliebtheit. Im 
Dezember letzten Jahres erschien Ver- 
sion 3, die einige neue Features ein- 
führte. Das System bietet, ähnlich wie 
Vanilla, „Speaking URLs“ und unter- 
stützt die Erweiterung des Systems 
durch Plug-ins. UTF-8 wird jetzt als 
durchgängiges Encoding verwendet. 

Anders als die meisten anderen Fo- 
ren setzt Woltlab auf einen WYSI- 
WYG-Editor und macht den aus ande- 
ren Foren bekannten BBCode damit 
überflüssig. Typische Forenfeatures 
wie Datei-Uploads und Umfragen lie- 
fert das System gleich mit. Andere Er- 
weiterungen kann der Betreiber über 
ein Plug-in-System ohne Core-Modi- 
fikationen nachinstallieren. 

Besonderes Augenmerk wurde bei 
der Entwicklung der neuen Version 
auf die Barrierefreiheit gelegt. Bur- 
ning Board ist eines der wenigen Fo- 
ren, die komplett auf Tabellen für das 
Seitenlayout verzichtet. 

Woltlab bietet neben der reinen Soft- 
ware-Lizenz auch Pakete mit zusätz- 
lichen Support- und Upgrade-Verträgen 


® search Recent Topics E] Member Listing my Profiie DMy Bookmarks Private Messages Logout [bati] 


Forum Index -> Bookmark entries for bati 


pn Complex Integration question - multiple jforums -> caching problem? Edit Delete 


p Introducing JForum3 
nLDAP logging 


p Ntim authentication 


u Remotess0? 


psetting up an Informix DB connector 


Overview about new features Edit Delete 
Edit Delete 

Edit Delete 

Single-Sign-On by own app Edit Delete 


well documented solution Edit Delete 


Per Lesezeichen, wie hier beim JForum, behält man interessante Diskussionen 
einfacher im Blickfeld. Sie können zudem für andere Forenbenutzer über das 


eigene Profil sichtbar sein (Abb. 7). 


1X 5/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Interaktives Web 


YetAnotherforum,CosmoCode » Betriebssysteme » Vista 


2 pages: [1] 2 


Newsgr von 
zu ewsgroups vo 


Themen Thema-Starter 
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Re; sta hat. loenen USA Flapay Disk Daniel Melanchihan 

Bei use 2.0 Mu mind nur ala Standart Mid 

erkanık, Enter Kuerter 3 

Blustossh Penipheral Device Beinhars Dry 


Bei PC. lanat/.hat Ausantzer ma 4 GB RAM enscha Inches 


Netansckdruskeunstallesion schlägt. fehl 


max A220UF Hasat Statz 3 
Faptplartte Häuft Yun nut und franz 

Rai AyM LEoN Karte ummer Yıada nos m nun Gutlensch 0 o 
SB-Porta funktiorseren nicht mehr Wisf 
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Antworten Aufrufe 


NNTP-Servern lassen 
sich beim YetAnother 
Forum.NET nahtlos in 
das eigene Forum 
einbinden. 
Antworten auf diese 
Diskussionen 
gelangen jedoch 
(noch) nicht zurück 
zur Usenet-Quelle 
(Abb. 8). 


Letzer Beitrag 


Haste um 09,42:30 
vn hal 


Fabruar 2008.0413 
Muh Cntel 
Fatruar 2008 03:04 
”) 


an. Eine kostenlose Burning-Board-Lite- 
Version ist ebenfalls erhältlich, hier 
muss man allerdings auf Features wie 
den WYSIWYG-Editor verzichten. 


u JForum 


JForum ist eine in Java programmierte 
Software, die mit Stabilität und Ge- 
schwindigkeit wirbt. Sie ist frei verfüg- 
bar und steht unter der BSD-Lizenz. JFo- 
rum läuft auf Anwendungsservern wie 
Tomcat, JBoss und Resin, unter Java EE 
5 SDK. Bei den Datenbanken gibt man 
sich freizügig: Neben MySQL, Post- 
greSQL und Oracle werden Microsoft 
SQL Server und HSQLDB unterstützt. 

Das stark an phpBB (Version 2) an- 
gelehnte Aussehen und die Positionie- 
rung der Elemente erleichtert einen 
Umstieg auf JForum; zudem wird ein 
Migrationstool angeboten, das den Da- 
tenbestand aus phpBB oder PHPNuke 
migriert. 

Leider fehlt eine Plug-in-API zur 
Erweiterung des Forums um eigene 
Funktionen — dafür ist die Integration 
des Forums selbst in andere Anwen- 
dungen möglich. Der Kontext der Ap- 
plikation ist über das Java-Konzept 
Threadlocal identifizierbar. JForum 
bietet zudem Support für Single-Sign- 
On über Login-Cookies oder Authen- 
tifizierungs-Frameworks. Die Authen- 
tifizierung lässt sich außerdem an 
LDAP- oder einen Directory-Server 
delegieren. 

Das von JForum verwendete, Velo- 
city ähnliche Template-System Free- 
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marker ermöglicht eine vielseitige An- 
passung. Selbst eine komplette Um- 
strukturierung des gesamten Seitenauf- 
baus ist möglich. Für Administratoren 
gibt es ein umfangreiches ACL-Sys- 
tem. Nützlich für Benutzer: Lesezei- 
chen von Threads können gespeichert 
und anderen Forenbesuchern zugäng- 
lich gemacht werden. 


3] YetAnotherForum.Net 


YetAnotherForum.Net (YAF) ist eines 
der wenigen Foren, das auf Microsofts 
ASP.Net setzen. Wer sich für dieses 
System entscheidet, erhält ein Paket 
mit den üblichen Forenfunktionen. 
Zwar lässt sich, wie bei allen anderen 
vorgestellten Systemen, die Sprache 
des Forums über Sprachdateien anpas- 
sen, der Adminbereich unterstützt aber 
keine Mehrsprachigkeit und bleibt da- 
her Englisch. 

Das Aussehen lässt sich über editier- 
bare CSS und austauschbare Buttons 
beziehungsweise Symbole anpassen, 
die zusammen ein Theme bilden. Ein 
Skin-Editor ist nicht im Installationsum- 
fang enthalten. Man kann jedoch jedem 
Subforum ein eigenes Theme zuordnen 
und ihm damit ein individuelles Aus- 
sehen verpassen. 

Eine neue Funktion (momentan noch 
Beta) bietet die Möglichkeit, News- 
groups von NNTP-Servern einzubinden. 
So lassen sich Artikel aus dem Usenet 
in ein Subforum integrieren. Antworten 
auf diese Artikel werden jedoch nicht 
zurück ins Usenet gespeist. YAF lässt 


sich zudem in die .Net-Applikationen 
DotNetNuke und Rainbow integrieren, 
im ASP.Net Umfeld bekannte Systeme 
zur Erstellung von Webportalen. 

Der komplett in C# geschriebene 
Sourcecode ist unter der GPL-Lizenz 
verfügbar. Zur Datenspeicherung wird 
ein Microsoft SQL Server (Express) ab 
der 2000er-Generation benötigt. 


Fazit 


Forensysteme sind im Web etablierte 
und stabile Kommunikationsplattfor- 
men. In der Handhabung sind die Sys- 
teme weitestgehend standardisiert, das 
Aussehen damit leider auch: Einzig 
Vanilla punktet mit einem modernen 
GUI. 

Wer etwas Besonderes will, muss 
Hand anlegen. Viele Systeme bieten 
für gestalterische Anpassungen die nö- 
tigen Werkzeuge. Wer bereits PHP 
und MySQL auf seinem Server im 
Einsatz hat, findet für diese Kombina- 
tion die größte Auswahl. 

Soll der Funktionsumfang der ge- 
planten Community über die Features 
der eingesetzten Software hinausge- 
hen, empfiehlt es sich, bei der Aus- 
wahl auf eine ausgereifte Plug-in-Ar- 
chitektur zu achten. (WM) 


DETLEF HÜTTEMANN 
ist CEO der Berliner CosmoCode 


GmbH. Das Softwarehaus entwickelt 
individuelle Internetlösungen für den 
Mittelstand und betreibt unter anderen 
die Vergleichsportale ForumMatrix und 


WikiMatrix. 


ANDREAS GOHR 


ist Angestellter bei CosmoCode und 
unter anderem Entwickler der Open- 
Source-Software DokuWiki. 


TILO BALLER 


ist Auszubildender bei CosmoCode 
und im Bereich PHP-Entwicklung tätig. 


[a] Online-Übersicht über Forensoftware 
www.forummatrix.org 


[b] Pflicht zur Löschung von Beiträgen 
www.heise.de/newsticker/meldung/72026 


[e] UTF-8 für vBulletin 
www.vcharset.com/how-to-start-vbulletin- 
forum-with-utf-8-from-the-begining-pid4.html 
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Recht 


Haftung für Forenbetreiber 


Forensisch 


Kaum eine Rechtsfrage bewegt die Gemüter der Betreiber von 
Onlinediensten mehr als die nach der Haftung für fremde Inhalte. 
Gerade die Anbieter von Meinungs- und Diskussionsforen sowie 
Blogs im Internet bewegen sich hier rechtlich auf dünnem Eis, 
wenn sie nicht entsprechende Vorsichtsmaßnahmen ergreifen. 


er Laie staunt, der Fachmann wun- 
D dert sich. Zugegeben, es ist nicht 
leicht zu verstehen, dass es Mel- 
dungen über Urteile wie „Keine Über- 
wachungspflichten für Forenbetreiber“ 
und nur kurze Zeit später „Urteil bestä- 
tigt uneingeschränkte Haftung für Fo- 
renbetreiber“ gibt. Eigentlich sind es nur 
vier Paragrafen im Telemediengesetz, 
dem früheren Teledienstegesetz, die seit 
Jahren zu unzähligen Urteilen, aber 
nicht zwingend zu einer eindeutigen und 
immer nachvollziehbaren Rechtslage in 
diesem Bereich geführt haben. 
Nicht zuletzt der Heise-Verlag muss- 
te in dieser Hinsicht (unfreiwillig) seine 
Erfahrungen machen, als es um die 
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Frage ging, ob er Forenbeiträge vor ih- 
rer Freischaltung auf die rechtliche Zu- 
lässigkeit ihres jeweiligen Inhalts zu 
überprüfen hat. Also im konkreten Fall, 
ob man den Verlag als Anbieter eines 
Internetforums für einen unzulässigen 
Beitrag eines Nutzers zur Verantwor- 
tung ziehen kann. 

In erster Instanz war er mit der Be- 
gründung verurteilt worden, er könne ja 
die Foren so gestalten, dass „die Einträ- 
ge vor ihrer Freischaltung auf die recht- 
liche Zulässigkeit ihres jeweiligen In- 
halts überprüft werden“. Das Gericht 
verlangte somit eine Vorabprüfung sämt- 
licher Beiträge. Für größere Foren ein 
sehr aufwendiges und teures Prozedere. 


Im Berufungsverfahren relativierte das 
Gericht diese Pflicht dann ein wenig. 
Die Vorabprüfungspflicht gilt nur ein- 
geschränkt, aber es gibt sie eben in be- 
stimmten Fällen. Wann genau, das ist 
die noch immer in Diskussion befind- 
liche Frage. 


Am Anfang 
war die Beleidigung 


Rechtliche Auseinandersetzungen im 
Bereich von Internetforen beginnen na- 
hezu immer damit, dass sich jemand 
durch eine Äußerung in einem Forum in 
seinen Rechten verletzt fühlt. Ein sol- 
chermaßen Verletzter hat grundsätzli- 
che mehrere Ansprüche, die er geltend 
machen kann. Zum einen hat er ein 
Interesse daran, dass die rechtswidrigen 
Äußerungen schnell aus dem Forum 
verschwinden und auch nicht wieder- 
holt werden. Zum anderen möchte er 
für einen erlittenen materiellen oder im- 
materiellen Schaden entschädigt wer- 
den. Er wird also die Geltendmachung 
von Schadenersatz und Schmerzensgeld 
in Erwägung ziehen. 

Grundsätzlich haftet der Autor einer 
rechtswidrigen Äußerung gegenüber 
dem Verletzten. Wer jemanden belei- 
digt, muss ihm gegenüber dafür gera- 
destehen. So die Theorie. In Internet- 
foren ist es aber regelmäßig so, dass 
der Betroffene die Forennutzer nicht 
ohne Weiteres ausfindig machen kann, 
da diese ihre Beiträge meist unter 
Pseudonymen veröffentlichen. Daher 
bleibt ihm zunächst nur das Vorgehen 
gegen den Betreiber des Forums. Für 
diesen Diensteanbieter gelten jedoch 
die besonderen Haftungsregelungen 
nach dem Telemediengesetz. Bevor zu 
entscheiden ist, ob nach sonstigen Vor- 
schriften überhaupt eine rechtswidrige 
Äußerung vorliegt, muss nach diesen 
Regelungen als eine Art „Filter“ vor- 
ab geprüft werden. Übrigens darf sich 
nach einem Urteil des Bundesgerichts- 
hofs ein Verletzter auch dann an den 
Blogger oder Forenbetreiber halten, 
wenn ihm die Identität des Autors be- 
kannt ist. 

Die genannten „Filterregeln“ lassen 
sich in zwei Gruppen einteilen. Da ist 
zum einen die Haftung für eigene Äuße- 
rungen und zum anderen die für Äuße- 
rungen Dritter, die man sich aber — aus 
welchen Gründen laut Telemedien- 
gesetz auch immer — zurechnen lassen 
muss. $ 7 Absatz 1 des Telemedienge- 
setzes sagt eindeutig zur ersten Fall- 
gruppe: „Diensteanbieter sind für eigene 
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Recht 


Bei gut frequen- 


[ wem > Nersdervertantangogmzte schrie Vortanntmmepmctrenung v2 


= Bundesverfassungsgericht schränkt Vorratsdatesspeicherung ein 


tierten Foren ist die 
Kontrolle der 
Beiträge ein auf- 
wendiges und kaum 
zu bewältigendes 
Unterfangen. 

Bei heise online etwa 
fallen täglich 5000 
bis 6000 neue 
Forumsbeiträge an. 


Sie aba Gast 


Informationen, die sie zur Nutzung 
bereithalten, nach den allgemeinen 
Gesetzen verantwortlich.“ Der Con- 
tent-Provider, wie beispielsweise beim 
Internet- Auftritt eines Zeitschriftenver- 
lages, ist demnach für die Inhalte seiner 
Webseiten selbst verantwortlich. Das 
leuchtet ein. Von diesen sind die Ac- 
cess-Provider, die Zugang etwa zum 
Internet vermitteln, und die Host-Pro- 
vider, die fremde Inhalte für den Nutzer 
speichern, abzugrenzen. So weit, so gut. 


Verschiedene 
Arten der Verantwortung 


Ein Forenbetreiber haftet also für die 
von ihm selbst eingestellten Forenbei- 
träge in vollem Umfang. Das gilt eben- 
falls für die seiner Mitarbeiter, etwa, 
wenn es sich um ein moderiertes Fo- 
rum handelt. Denn dann muss sich der 
Betreiber das Verhalten seiner Mitar- 
beiter als eigenes zurechnen lassen. 
Auch der zweite Fall, der Access-Pro- 
vider, ist noch relativ leicht zu fassen. 
Wer die Kommunikation nicht veran- 
lasst, die Adressaten von Informationen 
und auch die Informationen nicht aus- 
gewählt hat, ist für rechtswidrige Inhal- 
te, zu denen nur der Zugang vermittelt 
wird, nicht verantwortlich. 

Damit sind die Internet-Service-Pro- 
vider wie T-Online, Arcor, Freenet und 
alle anderen von der Haftung befreit, 
soweit sie nicht eigene Webangebote 
und nur den „Internetzugang“ zur Ver- 
fügung stellen. Diese Haftungsfreistel- 
lung gilt übrigens auch für Betreiber 
von Proxy-Servern, die automatisch 
und kurzfristig fremde Informationen 
zwischenspeichern. 

Dem Forenbetreiber hilft aber die 
Haftungsprivilegierung des Access- 
Providers nicht weiter, denn er wird in 
der Regel als Host-Provider angesehen. 
Für diese gilt nach $ 10 Telemedienge- 
setz, dass sie für „fremde Informationen, 


50 


die sie für einen Nutzer speichern, nicht 
verantwortlich“ sind, wenn „sie keine 
Kenntnis von der rechtswidrigen Hand- 
lung oder der Information haben und 
ihnen im Falle von Schadenersatzan- 
sprüchen auch keine Tatsachen oder 
Umstände bekannt sind, aus denen die 
rechtswidrige Handlung oder die Infor- 
mation offensichtlich wird“. 

Sie sind auch dann nicht verantwort- 
lich, wenn „sie unverzüglich tätig ge- 
worden sind, um die Information zu ent- 
fernen oder den Zugang zu ihr zu 
sperren, sobald sie diese Kenntnis er- 
langt haben“. Anderenfalls haften sie 
gegenüber den Verletzten und können 
gleichfalls schadenersatzpflichtig sein 
oder unter Umständen sogar straf- 
rechtlich zur Verantwortung gezogen 
werden, etwa wegen Beleidigung. Mit 
anderen Worten: Wenn sie auf eine be- 
leidigende Äußerung hingewiesen wer- 
den, sollten sie diese schnell löschen. 


Sonderfall Vorabkontrolle 


Eine Besonderheit ergibt sich aus einem 
Urteil des Bundesgerichtshofes (Urteil 
vom 11.02.2004, Az. 324 O 794/07). 
Dieser entschied, dass die Vorschriften 
des Telemediengesetzes auf Unterlas- 
sungsansprüche keine Anwendung fin- 
den. Verlangt also ein in seinen Rech- 
ten Verletzter neben der sofortigen 
Löschung auch die Unterlassung der 
Wiederholung einer rechtswidrigen Äu- 
Berung in einem Forum von dessen Be- 
treiber, besteht ein solcher Anspruch 
unabhängig von der Kenntnis des Fo- 
renbetreibers immer dann, wenn dieser 
eine Vorabkontrollpflicht hatte und sie 
im konkreten Fall verletzt hat. 

Das Landgericht Hamburg (Urteil 
vom 04.12.2007, Az. 324 O 794/07) hat 
für diese Pflicht des Weblog-Betreibers 
einen sogenannten „gleitenden Sorgfalts- 
maßstab‘ und ein „Spektrum abgestufter 
Prüfpflichten“ definiert. Das bedeutet, 


dass der Betreiber einer Vorabkontroll- 
pflicht dann unterliegt, wenn dafür ein 
konkreter Anlass gegeben ist. Die Rich- 
ter äußerten sich noch etwas genauer: 
„Je mehr konkreter Anlass zu der Be- 
fürchtung besteht, dass es durch Kom- 
mentare auf einer Internetseite zu Per- 
sönlichkeitsrechtsverletzungen Dritter 
kommen wird, und je schwerwiegen- 
der die zu befürchtenden Verletzungen 
sind, umso mehr Aufwand muss der 
Betreiber auf sich nehmen, um die auf 
seiner Seite eingestellten Kommentare 
einer persönlichkeitsrechtlichen Über- 
prüfung zu unterziehen“. 

Ein solcher Anlass kann zum Bei- 
spiel vorliegen, wenn eine rechtswidri- 
ge Äußerung eines Nutzers absehbar ist. 
In diesem Fall war das nach Auffassung 
der Richter so, denn der Beklagte hatte 
selbst einen scharfen, kritischen Artikel 
auf seiner Webseite eingestellt, den ein 
Nutzer seines Blogs in beleidigender 
Weise kommentiert hatte. Gegen die- 
sen Kommentar richtete sich das Ge- 
richtsverfahren. Da der Blog-Betreiber 
also selbst die ehrverletzenden Äuße- 
rungen durch Nutzer provoziert hatte, 
traf ihn eine Vorabkontrollpflicht, die 
er verletzt hatte. 

Ähnlich hatte auch das Oberlandes- 
gericht Hamburg im „Heise-Fall“ (Ur- 
teil vom 22.08.2006, Az. 7 U 50/06) 
entschieden. Dort verlangten die Richter 
eine Vorabkontrolle aller Beiträge zu ei- 
nem Diskussionsthema in einem Forum 
durch den Betreiber, „wenn dieser ent- 
weder durch sein eigenes Verhalten vor- 
hersehbar rechtswidrige Beiträge Dritter 
provoziert hat oder wenn ihm bereits 
mindestens eine Rechtsverletzung von 
einigem Gewicht im Rahmen des betref- 
fenden Forums benannt worden ist und 
sich damit die Gefahr weiterer Rechts- 
verletzungen durch einzelne Nutzer be- 
reits konkretisiert hat“. Außerdem führte 
das Gericht aus, dass einem gewerb- 
lichen Betreiber eine laufende Überwa- 
chung der Meinungsbeiträge eher zuzu- 
muten ist als einem privaten. 


Man hätte 
es ahnen können 


In anderen Fällen haben Gerichte eine 
Kontrollpflicht etwa dann angenom- 
men, wenn dem Betreiber früher bereits 
mindestens einmal eine gewichtige 
Rechtsverletzung zur Kenntnis gelangt 
ist und er deswegen davon ausgehen 
muss, dass die Nutzer des Blogs oder 
Forums zu solchen Rechtsverletzungen 
bereit sind. 
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Wird durch eine Vorabkontrolle 
oder durch einen Hinweis oder die 
Aufforderung eines Dritten ein rechts- 
widriger Beitrag identifiziert, ist dieser 
unverzüglich aus dem Blog oder Fo- 
rum zu entfernen. Damit hat man der 
rechtlichen Pflicht Genüge getan. Man 
darf sich als Betreiber darauf verlas- 
sen, dass Suchmaschinenbetreiber ihre 
Datenbestände regelmäßig aktualisie- 
ren. Eine Pflicht, von diesen aktiv eine 
Löschung der Auflistung des (gelösch- 
ten) rechtswidrigen Beitrags zu verlan- 
gen, besteht nicht. 

Wer seine Prüfpflichten verletzt, 
kann auf Beseitigung der rechtswidri- 
gen Beiträge und Unterlassung der 
Wiederholung einer solchen Äußerung 
in Anspruch genommen werden. Im 
Wiederholungsfall hat er meist ein vom 
Gericht festgesetztes Ordnungsgeld von 
bis zu 250 000 Euro zu zahlen. Theore- 
tisch kann ein Gericht auch Ordnungs- 
haft gegen den Verantwortlichen — etwa 
den Geschäftsführer einer GmbH - an- 
ordnen. Solche Fälle sind aber extrem 
selten. Gerade die Möglichkeit, im 
Wiederholungsfall mit Ordnungsgeld 
belegt zu werden, ist das eigentliche 
kostspielige Risiko. Denn dieses resul- 
tiert automatisch daraus, dass der Be- 
treiber künftig jeden Forenbeitrag dar- 
aufhin durchsehen muss, ob jemand die 
abgemahnte Äußerung wiederholt. 

Usenet-Betreiber unterliegen übri- 
gens nicht dieser Vorabkontrollpflicht. 
Denn sie sind eher mit einem Access- 
Provider zu vergleichen, für den diese 
Grundsätze nicht gelten. Das meinten je- 
denfalls die Richter am Oberlandes- 


gericht Düsseldorf (Urteil vom 15.01. 
2008, Az. 1-20 U 95/07). Denn, so ihr 
Urteil, dem Provider muss eine Kon- 
trolle überhaupt möglich, zumindest 
aber zumutbar sein. Dies ist beim Use- 
net-Betreiber aber nicht der Fall, denn er 
ist nicht in der Lage, „rechtsverletzende 
fremde Inhalte aus dem Usenet zu lö- 
schen“. Nur von seinem eigenen Server 
kann er solche Beiträge löschen, bis die- 
se erneut von einem Usenet-Nutzer ab- 
gerufen und dort abgelegt werden. 


Fazit 


Betreiber von Blogs und Meinungsforen 
tun gut daran, sich mit ihrer Haftung für 
rechtswidrige Beiträge durch Dritte zu 
beschäftigen. Die deutschen Gerichte 
erwarten eine Vorabkontrolle der Beiträ- 
ge zumindest dann, wenn mit rechtswid- 
rigen Äußerungen zu rechnen ist. Das 
ist der Fall, wenn durch das diskutierte 
Thema rechtswidrige Beiträge nahelie- 
gen oder durch andere Beiträge - ins- 
besondere von den Betreibern selbst 
eingestellte Artikel — geradezu provo- 
ziert werden. 

Viele Forenbetreiber schützen sich 
dadurch, dass sie entweder die Beiträge 
vorab oder jedenfalls unmittelbar nach 
ihrer Veröffentlichung auf rechtswidri- 
ge Inhalte kontrollieren. Manche benut- 
zen dazu auch Filtersoftware, die neue 
Beiträge auf bestimmte Schlüsselwörter 
hin untersucht und diese dann entweder 
automatisch sperrt oder in einen Quaran- 
tänebereich ablegt, der manuell durch 
die Verantwortlichen zu überprüfen ist. 


Problematisch ist daran, dass hier 
meist durch Laien eine juristische Prü- 
fung der Beiträge erforderlich ist, die in 
rechtlichen Grauzonen auch misslingen 
kann. Letztlich wird also ein Betreiber 
lieber einen Artikel zu viel als einen zu 
wenig von der Veröffentlichung aus- 
schließen. Ob das noch im Sinne der 
grundrechtlich geschützten Meinungs- 
und Pressefreiheit ist, darf man zu Recht 
bezweifeln. Aber solange der Gesetz- 
geber hier nicht für klare Regeln sorgt, 
bleibt den Gerichten nichts anderes 
übrig, als der bislang befolgten Recht- 
sprechung des Bundesgerichtshofs und 
anderer hoher Gerichte zu folgen. Aus 
Kostengründen haben auch schon Be- 
treiber „Öffnungszeiten“ für ihre Mei- 
nungsforen festgelegt, außerhalb derer 
keine Kontrolleure zur Verfügung ste- 
hen. Postings sind daher auch nur in 
diesen Zeiten möglich. 

Mittels vertraglicher Haftungsbe- 
schränkungen sein eigenes Risiko in 
diesen Fällen zu reduzieren, dürfte kei- 
ne Alternative sein. Dann müsste man 
mit jedem Nutzer und „Leser“ zunächst 
einen Nutzungsvertrag über den Blog 
oder das Forum schließen. Selbst in 
solchen geschlossenen Gruppen wären 
aber auch nur geringfügige Erleichte- 
rungen möglich, denn Haftungsklauseln 
in Standardverträgen gibt das deutsche 
Recht über allgemeine Geschäftsbedin- 
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Internet Explorer zwischen 7 und 8 


Kernsanierung 


Michael Jendryschik 


Schon die erste Beta-Version des Internet Explorer 8 ist 
deutlich besser als sein Vorgänger, bleibt aber weit hinter 
der Konkurrenz zurück. Der fertige Browser soll CSS 2.1 


voll unterstützen. 


ls der Internet Explorer 7 im Ok- 
A: 2006 erschien, rief er unter 

Webentwicklern zwiespältige Re- 
aktionen hervor. Der Microsoft-Browser 
hatte zwar viele Änderungen an der Be- 
nutzeroberfläche erfahren, war aber in 
Bezug auf Webstandards nicht viel 
mehr als eine Art längst überfälliger 
Bugfix voller alter und neuer Probleme 
und Fehler [1]. Mittlerweile steht der 
IE 8 in den Startlöchern, bei dessen 
Entwicklung Microsoft deutlich höhe- 
re Maßstäbe angelegt hat. Die Entwick- 
lung des IE 8 begann im August 2007. 
Im Dezember erschienen die ersten Ein- 
träge über den neuen Browser im Web- 
log der IE-Entwickler. Die erste öffent- 
liche Beta-Version richtet sich primär 
an Webentwickler und steht seit dem 
5. März 2008 zur Verfügung. 

IE 8 wartet mit zahlreichen neuen Er- 
weiterungen auf, darunter sogenannte 
Activities und Webslices. Erstere sind 
kleine Zusatzfunktionen, die Betreiber 
einer Website anbieten und Nutzer bei 
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Bedarf installieren. Auf diese Weise 
können Surfer komfortabel typische Ak- 
tionen per Kontextmenü durchführen, 
beispielsweise eine Anschrift bei einem 
Stadtplandienst nachschlagen oder Über- 
setzungsdienste ansteuern. Kopieren und 
Einfügen zwischen zwei Websites ist 
dadurch einfacher oder überflüssig. Be- 
schrieben werden Activities in XML; 
das Nachladen erfolgt per Javascript. 


Neues Gefühl: 


Innovation im IE 


Webslices sind Ausschnitte einer Web- 
site, die Benutzer wie Newsfeeds abon- 
nieren können. Sie erscheinen als eine 
Form von Lesezeichen in der Favoriten- 
leiste und eignen sich dazu, komforta- 
blen Zugang zu Informationen zu schaf- 
fen, beispielsweise Aktienkursen oder 
dem aktuellen Stand einer Ebay-Auk- 
tion. Welche Bestandteile einer Websei- 
te als Webslices zur Verfügung stehen, 


beschreiben Entwickler mit hSlice, einer 
Abwandlung des Mikroformats hAtom. 
Überhaupt zeigt sich die Favoritenleis- 
te in einem neuen Gewand und ver- 
waltet neben Lesezeichen und Webslices 
Newsfeeds und die Browser History. 
Auch die Adresszeile des Browsers 
hat sinnvolle Erweiterungen erfahren. 
So graut IE 8 die gesamte aufgerufene 
URL aus — mit Ausnahme der Top-Le- 
vel-Domain, die dadurch in den Vorder- 
grund rückt und deutlich erkennbar ist. 
Wie der Umgang mit Services aussehen 
kann, bei denen eine Subdomain Be- 
standteil der Adresse ist (beispielsweise 
script.aculo.us oder del.icio.us), muss 
die Zukunft zeigen. Nützlich ist darüber 
hinaus die Unterstützung mehrzeiliger 
URLs, ein häufiges Ärgernis in E-Mails, 
in denen umbrochene URLs häufig 
nicht anklickbar sind. Im IE 8 lassen 
sich umbrochene URLs wie 
http: //www.heise.de/newsticker/Umfrage- 
unter-Webarbeitern-im-deutschsprachigen- 


Raum-/meldung/101383 


komplett markieren und in die Adress- 
zeile kopieren; IE entfernt die Zeilen- 
umbrüche und fügt die Adresse als 
Ganzes ein. 

Einen guten Eindruck hinterlässt das 
neue Zoom-Verhalten, das sich deut- 
lich von dem seines Vorgängers ab- 
hebt. Der IE 7 zoomt noch recht unfle- 
xibel. Er betrachtet das Ergebnis des 
Rendering-Prozesses wie ein gedruck- 
tes Blatt Papier und vergrößert oder 
verkleinert es als Ganzes: nicht nur die 
Schriften, sondern die gesamte Website 
inklusive aller Abstände, Größenanga- 
ben und Grafiken. Gerade bei flexiblen, 
seitenbreiten Layouts führt dieses Ver- 
halten schnell zu Schwierigkeiten; denn 
das im Grunde flexible Layout wird 
wie ein fixes Layout behandelt, was 
schon in der ersten Vergrößerungsstu- 
fe zu horizontalen Rollbalken führt. 

IE 8 hingegen verfügt über ein adapti- 
ves Zoomverhalten, eine Mischung aus 
Skalierung und Zoom. Anders als im 
IE 7 berechnet er die Seitenelemente 
beim Verkleinern oder Vergrößern neu 
und ordnet sie dementsprechend an. 
Breiten- und Höhenangaben in absoluten 
Einheiten oder solchen, die eine Abhän- 
gigkeit zum Gerät (beispielsweise px) 
oder zur Schrift (wie ex oder em) ausdrü- 
cken, skaliert der Browser; ein Zoom auf 
200 % vergrößert 100 px auf 200 px und 
5 mm auf 10 mm. Angaben, die sich 
auf die Umgebung beziehen, beispiels- 
weise in % oder der Wert auto, werden 
nicht skaliert; was in der Standardgröße 
50% der Anzeigefläche ausmacht, bleibt 
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auch bei einem Zoom von 200 % nur 
50 % der Anzeigefläche breit. 

Zu den weiteren Neuerungen gehören 
die Wiederherstellung offener Tabs nach 
einem Absturz des Browsers, der in 
HTML 5 spezifizierte Speichermecha- 
nismus DOM Storage, ein verbesserter 
Phishing-Filter, integrierte Sicherheits- 
und Analysewerkzeuge sowie — laut 
Microsoft - zahlreiche Verbesserungen 
hinsichtlich Sicherheit, Stabilität und 
Geschwindigkeit. 


Zwei Fliegen: 
Version Targeting 


Ende Januar sorgte eine Ankündigung 
[a] im IEBlog für Aufregung und hitzi- 
ge Diskussionen in der Blogosphäre. 
Nahezu alle in der deutschsprachigen 
und internationalen Szene bekannten 
Webworker meldeten sich zu Wort, um 
ihre Meinung über das von Wilson an- 
gekündigte Konzept des Version Tar- 
geting kund zu tun. 

Er bezieht sich in seinem Beitrag auf 
einen Artikel im Onlinemagazin A List 
Apart (siehe [b]), der die drei Darstel- 
lungsmodi (siehe den Artikel über Doc- 
type-Switching, [2]) des IE 8 vorstellt. 
Der Quirks-Modus stellt eine Websei- 
te wie alte, inkompatible Internet Ex- 
plorer dar; dabei entspricht der Quirks- 
Modus des IE 8 dem des IE 7. Daneben 
verfügt IE 8 über zwei standardkonfor- 
me Modi: einen herkömmlichen IE7- 
Standards-Modus, der dem des IE 7 mit 
all seinen Fehlern entspricht, und einen 
neuen (IE8-)Standards-Modus, der die 
komplett erneuerte Rendering Engine 
des IE 8 verwendet. 

Über ein meta-Element können Web- 
entwickler steuern, welchen der standard- 
konformen Modi sie auf ihre Website 
angewendet wissen wollen, beispiels- 
weise den IE8-Standards-Modus: 
<meta hitp-equiv="X-UA-Compatible" 

content="]E=8" /> 


Andere Browser als der IE lassen sich im 
Inhalt des content-Attributs ebenfalls 
aufführen. Über folgende Angabe gibt 
ein Webautor an, dass er die Webseite 
für IE 7, Firefox 3 und andere Browser 
in ihren jeweils aktuellen Versionen 
(Schlüsselwort edge) geschrieben hat: 


<meta http-equiv="X-UA-Compatible" 
content="lE=7;FF=2;OtherUA=edge" /> 


Massiven Gegenwind aus der Webwor- 
ker-Community verursachte der ur- 
sprüngliche Plan der IE-Entwickler, 
den neuen Browser standardmäßig im 
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Webbrowser 


IE7-Standards-Modus auszuliefern. Sie 
begründeten dieses Vorhaben mit den- 
selben Argumenten, mit denen Micro- 
soft 2001 das Doctype Switching einge- 
führt hatte: Der Internet Explorer soll 
lange Zeit und über mehrere Versionen 
hinweg abwärtskompatibel bleiben. Es 
soll kein Browser veröffentlicht werden, 
der zwar standardkonform arbeitet, aber 
gerade deshalb die existierenden, fehler- 
haften Inhalte im Web nicht so darstellt, 
wie es sich Autoren dieser Inhalte wün- 
schen. Mittlerweile hat Microsoft in die 
richtige Spur gefunden [c]: Schon in der 
ersten Beta-Version läuft der IE 8 mit 
dem IE8-Standards-Modus. Um den al- 
ten IE7-Standards-Modus zu veranlas- 
sen, können Webentwickler das oben 
genannte meta-Element einsetzen. Nut- 
zer können in diesen Modus über die 
Schaltfläche „Emulate IE7“ wechseln 
(siehe Abb. unten), wofür sie den 
Browser in der aktuellen Beta-Version 
noch neu starten müssen. 


Webstandards: Fortschritte 
und Versäumnisse 


In Sachen Webstandards haben sich die 
IE-Entwickler viel vorgenommen: Sie 
haben sich zum Ziel gesetzt, den ferti- 
gen IE 8 mit vollständiger CSS-2.1- 
Unterstützung auszuliefern — ein res- 
pektables Ziel, vom dem die aktuelle 
Beta-Version jedoch noch weit entfernt 
ist. Um die CSS-Fähigkeiten des neuen 
Browsers zu überprüfen, erarbeiteten 
die IE-Entwickler über 700 Tests [d]. 
Diese und andere Testseiten [e], [f], [g] 
zeigen, dass noch viel Zeit vergehen 
dürfte, bis der IE so weit ist, dass Mi- 
crosoft ihn veröffentlichen kann. 

Eine wichtige Änderung: Das has- 
Layout-Konzept gibt es nicht mehr. Da- 
bei handelt es sich um ein Konzept bis 
Version 7, das bestimmt, wie Elemen- 
te ihren Inhalt zeichnen und begren- 
zen, wie sie mit anderen Elementen 
interagieren und auf Benutzeraktionen 
reagieren. Elemente „haben“ Layout 
oder sie haben es nicht. Es gibt Ele- 
mente, die von vornherein Layout ha- 
ben, bei anderen wird es durch die Ver- 
gabe von CSS-Eigenschaften ausgelöst, 
etwa bei absoluter Positionierung und 
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den Eigenschaften float, width oder 
height. Das Layout-Konzept ist verant- 
wortlich für viele float-Bugs, die IE 7 
noch mit sich herumträgt. Mit der Eli- 
minierung dieses Konzepts verschwin- 
den im IE 8 viele dieser Fehler. 

IE 8 unterstützt die Pseudoklasse 
‚focus und die Pseudoelemente before 
und after, bei Letzteren allerdings nur 
die Schreibweise mit einem Doppel- 
punkt. Die in CSS 3 vorgesehene 
Schreibweise mit zwei Doppelpunkten 
(zum Beispiel ::before), die helfen 
wird, Pseudoklassen und Pseudoele- 
mente voneinander zu unterscheiden, 
erkennt IE 8 leider nicht. 

Mit der Unterstützung der CSS-Ei- 
genschaft content kommen nun auch 
IE-Nutzer in den Genuss der Kenn- 
zeichnung externer Links mittels fol- 
gender Regel, die Webentwickler so 
oder ähnlich seit Langem verwenden: 
alhref*="http://"]::before, 
alhref*="https://"]::before { 

content: "\2197\00A0"; 


Hinzugekommen ist die Unterstützung 
der Eigenschaft outline sowie einiger 
Eigenschaften für Print-Stylesheets 
(page-break-inside, widows und or- 
phans). Die Unterstützung der Eigen- 
schaft display schließt jetzt die Werte 
für Tabellen ein. Damit ist es möglich, 
Tabellen aus Nicht-Tabellen-Elemen- 
ten zu erzeugen. Sinnvoll ist dies vor 
allem bei der Anwendung von CSS 
zur Formatierung von XML-Daten, 
die ein Browser anzeigen soll. Das im 
IE 7 noch teilweise fehlerhafte Kon- 
zept der zusammenfallenden Randab- 
stände (margin collapsing) haben die 
Redmonder repariert. 

Die IE-Entwickler haben das Tabel- 
lenmodell der getrennten Rahmen (sepa- 
rated border model) realisiert, das Rah- 
men nur für die Elemente table, td und 
th erlaubt, die mit einem kleinen Ab- 
stand voneinander dargestellt werden. 
In diesem Zusammenhang funktioniert 
auch die Anwendung der Eigenschaft 
border-spacing, über die Webentwick- 
ler den Abstand zwischen den Zellen 
angeben können. Bei der Eigenschaft 
caption-side, über die Webentwickler 
die Position von Tabellenüberschriften 


Windows Internet Explorer 


—— | 
example,org v 4 | 7 | 
| 
& Emulate 1E7 | 


An der URL ist erkennbar, dass es sich nicht um die Website einer Bank handelt - 
und rechts ist der Emulier-Button für IE 7 zu erkennen. 
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bestimmen können, interpretiert der IE 8 
zwar neuerdings den Wert bottom, nicht 
jedoch die Werte left und right. 

Für die Eigenschaft list-style-type 
interpretiert der IE 8 alle Werte aus 
CSS 2.1 und upper-greek aus CSS 3. 
Dies ist nicht das einzige, was die Ent- 
wickler aus CSS 3 übernommen haben. 
IE versteht die Eigenschaft box-sizing 
(allerdings in der Schreibweise -ms- 
box-sizing) zur Angabe eines alternati- 
ven CSS-Box-Modells. 

Angesichts seines Beta-Status ist es 
nicht verwunderlich, dass IE 8 noch 
ziemlich viele Fehler aufweist, darun- 
ter solche, die der IE 7 nicht kennt. So 
werden beispielsweise die Eigenschaf- 
ten letter-spacing und word-spacing 
sowie die Pseudoelemente ;first-line 
und ;first-letter nicht mehr interpretiert. 
Anker vererben ihren Cursor nicht, das 
heißt bei Markup wie 
<a href="http://www.example.com"> 


<span>Link</span> 
</a> 


erscheint der Standard-Mauszeiger und 
nicht der Zeiger für die Verknüpfungs- 
auswahl. Auch die Implementierung 
von CSS-Zählern (counter-reset und 
counter-increment) arbeitet noch nicht 
korrekt. Darüber hinaus gibt es zahlrei- 
che weitere CSS-Fehler, die vielleicht 
schon zur nächsten Beta-Version, hof- 
fentlich aber zur finalen Release des 
Browsers behoben sein sollten. 

Leider nur wenig Verbesserung er- 
fuhr die HTML-Unterstützung. Erwäh- 
nenswert ist nur die korrigierte Inter- 
pretation des alt-Attributs von Bildern. 
Dessen Inhalt erscheint nicht mehr als 
Tooltip, sondern kommt nur zur Anzei- 
ge, wenn das dazugehörige Bild nicht 
existiert. Korrekt verhält IE 8 sich aller- 
dings nur bei einfachen img-Elementen. 
Bei grafischen Buttons (input-Elemen- 
ten vom Typ image) und Image-Maps 
erscheint der alt-Inhalt gegebenenfalls 
weiterhin als Tooltip. Die Liste der 
weiteren Lücken, die die HTML-Unter- 
stützung des IE 8 aufweist, ist nach wie 
vor lang: Die Attribute cite (für die Ele- 
mente q, blockquote, ins und del), long- 
desc (img) und summary (table) unter- 
stützt die erste Beta-Version nicht; 
zumindest für longdesc ist Abhilfe zu 
erwarten. Das Element g zeigt ein Mi- 
crosoft-Browser wohl niemals korrekt 
an, und ebenso wenig ist mit einer auf 
link-Elementen basierenden Navigation 
zu rechnen, auf die Webentwickler 
schon seit der Einführung von HTML 
2.0 vor mehr als 12 Jahren warten. In 
der Beta hinzugekommen sind einige 
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kleinere Fehler, beispielsweise ein ver- 
schobenes Rendering des legend-Ele- 
ments. In kommenden Versionen dürf- 
ten diese Fehler nicht mehr auftauchen. 

Wie schon bei der Einführung des 
IE 7 verursacht die Tatsache Miss- 
stimmung, dass Microsoft die Chance 
ausgelassen hat, den Internet Explorer 
XHTML-fähig zu machen. Selbst der 
IE 8 wird nicht in der Lage sein, mit 
dem für XHTML-Dokumente vorge- 
sehenen MIME-Typ application/xhtml+ 
xml umzugehen. Wie bei seinen Vor- 
gängern erscheint beim Aufruf einer auf 
diese Weise ausgelieferten Ressource 
ein Download-Dialog. 


Browsertests mit Acid 


Ein abschließender Blick auf die ak- 
tuellen Browsertests des Web Stan- 
dards Projects (WaSP) hilft, den aktuel- 
len Stand des Internet Explorer besser 
einzuordnen. Der Acid2-Test [h] wur- 
de im April 2005 entwickelt und prüft 
hauptsächlich die CSS-Fähigkeiten. 
Mittlerweile bestehen alle wichtigen 
Browser den Test erfolgreich, darunter 
Safari, Konqueror, iCab, Opera und end- 
lich aktuelle Beta-Versionen des Fire- 
fox 3. Während IE 7 an dem Test noch 
kläglich scheitert, zeigt IE 8 den gelben 
Smiley endlich in seiner vollen Pracht 
(siehe Artikelaufmacher, S. 52). 

Der Acid3-Test [i] wurde im Februar 
2008 veröffentlicht und konzentriert 
sich auf Tests interaktiver Anwendun- 
gen. DOM, ECMAscript, SVG, SMIL, 
und CSS 3 stehen im Fokus des Tests. 


Um ihn zu bestehen, muss ein Browser 
100 Einzeltests erfolgreich absolvieren 
und das Ergebnis zudem korrekt darstel- 
len können. Zur Veröffentlichung des 
Tests war dazu kein Browser in der La- 
ge, mittlerweile schaffen es Beta-Ver- 
sionen der Browser Safari 3.1 und Ope- 
ra 9.5. Der IE 8 liegt weit zurück und 
schafft gerade mal 18 von 100 Tests. 
Der Acid3-Test umfasst teilweise äu- 
Berst theoretische Szenarien, trotzdem 
schneiden alle modernen Browser bes- 
ser ab als IE 8. Die Aussagekraft des 
Tests mag heute zwar noch bezweifelt 
werden, aber es bleibt das Gefühl zu- 
rück, dass Microsoft mit IE 8 seiner 
Konkurrenz wie damals mit IE 7 weiter- 
hin einige Schritte hinterherhängt. (hb) 
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Forensik 


Daten wiederherstellen 
mit Open-Source-Tools 


Rausgefi 


Stefan Kelm 


: 
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Ob gelöschte Dateien wiederherzustellen sind oder der 
Zugriff auf geschützte Festplattenbereiche gefragt ist - soge- 
nannte Carving-Werkzeuge sind Ermittlern in vielerlei Hinsicht 
dienlich. Kein Wunder, dass zahlreiche Open-Source-Tools 
den kommerziellen Konkurrenz machen. Was taugen sie? 


men forensischer Analysen mit ge- 

löschten oder gar defekten Festplatten 
zu tun. Zu analysierende Systeme - ins- 
besondere solche, die seit vielen Jahren 
in Verwendung sind - sind aber gerade 
in denjenigen Bereichen für den Foren- 
siker interessant, auf die das Dateisys- 
tem jeglichen normalen Zugriff verwei- 
gert. Oft befinden sich gerade in den 
nicht (mehr) allozierten Speicherberei- 
chen wertvolle Informationen. 

Moderne Forensik-Tools, sogenannte 
File Carver, können hier bei der Rekon- 
struktion „ehemaliger“ Dateien helfen — 
dabei bietet auch die Open-Source-Welt 
interessante Alternativen. Bereits 2006 
wurde daher eine systematische Vor- 
gehensweise für derartige Rekonstruk- 
tionen vorgestellt [1]. Die damals er- 
wähnten Tools hat der Autor einem 
Praxistest sowie einer Bewertung 
unterzogen. 

Alle aktuellen Carving-Tools folgen 
zunächst einigen einfachen forensischen 
Grundsätzen: Den meisten Dateitypen 
liegt eine mehr oder weniger eindeutige 
Spezifikation des Dateiformats zugrun- 
de und sie verfügen am Dateianfang — 
oft auch am Dateiende — über eine spe- 
zifische Byte-Folge, die eine eindeutige 


ü mmer häufiger hat man es im Rah- 
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Identifikation des Dateityps ermöglicht. 
So starten zum Beispiel JPEG-Dateien 
immer mit Oxffdsffe00010 und enden 
mit Oxffd9. Auch das Unix-Kommando 
file verwendet diese Informationen [4]. 

Die Carving-Tools suchen nun nach 
diesen Byte-Folgen und kopieren (,„car- 
ven“) sämtliche Bytes, die dazwischen- 
liegen, in eine neue Datei - fertig ist das 
rekonstruierte JPEG-Bild. Leider verfü- 
gen jedoch einige Dateitypen nicht über 
solche spezifischen Byte-Kombinatio- 
nen am Dateiende. 

Für diesen Fall (sowie für den Fall, 
dass die Datei auf der Festplatte frag- 
mentiert ist) muss man dem Tool also 


eine maximale Anzahl zu carvender 
Bytes mitgeben und die extrahierte 
Datei anschließend manuell nachbear- 
beiten (Glück für die Forensikerin, 
dass es einige wenige Dateitypen gibt, 
die eine feste Dateigröße besitzen). 
Manchmal lässt sich die Länge einer 
Datei außerdem aus dem Datei-Header 
auslesen. 


Ergänzende 
Handarbeit erforderlich 


Die Kompilierung gestaltet sich bei al- 
len Werkzeugen denkbar unkompli- 
ziert: In der Regel reicht ein einfaches 
make, unter Umständen gefolgt von 
einem make install, sofern das Tool 
gleich systemweit installiert werden 
soll. Je nach Unix-/Linux-Derivat ist 
ferner die eine oder andere Bibliothek 
(zum Beispiel liberypto) nachzuinstal- 
lieren, bevor man carven kann. Bei den 
Open-Source-Tools ist anschließend die 
Anpassung einer ASCIH-Konfigura- 
tionsdatei notwendig. In dieser Datei 
gibt man dem Tool genaue Instruktio- 
nen, welche Dateitypen es bis zu wel- 
cher Größe extrahieren soll. 

Alle Tools erhielten dieselben foren- 
sischen Images: Die gängigen ([2] und 
[3]) frei zur Verfügung stehenden Test- 
dateien enthalten auch Beschreibungen 
über den tatsächlichen Inhalt der Ima- 
ges, sodass man ziemlich schnell ab- 
schätzen kann, wie gut die Werkzeuge 
wirklich arbeiten. Bevor man jedoch 
loslegen kann, sollte man ausreichend 
Plattenplatz bereitstellen, da die Tools 
(mit Ausnahme von CarvFS) die iden- 
tifizierten Dateien sofort extrahieren 
und dabei gelegentlich Dubletten er- 
zeugen. Ein 50 MByte großes dd-Image 
kann daher durchaus deutlich mehr als 
50 MByte an gecarvten Dateien erzeu- 
gen. Im Rahmen einer „sauberen“ fo- 
rensischen Analyse muss man eine ei- 
gens dafür bestimmte Platte verwenden. 


aber nicht nach. 


IK-TRACT 


© Für die Wiederherstellung gelöschter Daten oder den Zugriff auf geschützte 
Speicherbereiche gibt es Open-Source-Werkzeuge, die es durchaus mit ihrer 
kommerziellen „Konkurrenz“ aufnehmen können. 


© Zwar bieten sie keine grafische Oberfläche, in ihren Eigenschaften - Offenheit für 
neue Formate, Geschwindigkeit et cetera - stehen sie den kommerziellen Produkten 


© Einen „Platzhirsch” gibt es nicht - zumal ein guter Ermittler nicht zuletzt aufgrund 
der unterschiedlichen Funde je Werkzeug immer mehrere von ihnen einsetzt. 
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 ) Foremost 1.5.3 


Eines der ersten und bis heute meist- 
verwendeten Tools ist das von der Air 
Force programmierte Foremost. Die 
aktuelle Version 1.5.3 lässt sich — eben- 
so wie die nachfolgend beschriebenen 
Werkzeuge - problemlos mit gcc über- 
setzen und sofort benutzen. Vor dem 
ersten Einsatz muss man jedoch die 
Konfiguration anpassen, die sich in der 
Datei foremost.conf befindet (Listing 1). 
In ihr sind alle diejenigen Dateitypen 
auszukommentieren, nach denen man 
suchen will. 

Man sollte sich also vorher Gedanken 
darüber machen, ob man beispielsweise 
eher Multimediadaten oder aber Office- 
Dokumente rekonstruieren will: eine für 
forensische Analysen durchaus übliche 
Vorgehensweise, da man an dieser Stelle 
in der Regel bereits ausreichend Anhalts- 
punkte für zu suchende Dateiformate 
gewonnen hat. Im Zweifelsfall können 
natürlich auch sämtliche von Foremost 
unterstützende Dateitypen verwendet 
werden. In diesem Fall wird aber sicher 
eine Vielzahl von „unbrauchbaren‘“ Da- 
teien erzeugt, die der Ermittler anschlie- 
ßend manuell sichten muss. 

Nach dem Anlegen des Zielver- 
zeichnisses (hier carv-output) kann das 
Tool gestartet werden: 


foremost -i /Images/ 1 1-carve-fat.dd 7 
-o ./carv-output -c ./foremost.conf 
Im Ziel-Directory finden sich anschlie- 


ßend eine Reihe von Unterverzeich- 
nissen (zum Beispiel jpg), in denen 


ound at 
ion perfe 
found at 


Scalpel, das aus 
einer Neupro- 
grammierung 

des Tools 
Foremost hervor- 
ging, bringt eine 
vorkompilierte 
Windows- 
Version mit 
(Abb. 1). 


doc foote as found at 


doc as found at : 


storage = 1B1 
storage = 1M 


header storage 181 


Listing 1 


# 
# Foremost configuration file (EXTRACT) 


# GIF and JPG files (very common) 

# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION) 
git y 155000000 \x47\x49\x46\n38\x37\x61  \x00\x3b 
git y 155000000 \x47\x49\x46\n38\x39\x61  \x00\x00\x3b 
jpg y 20000000  \xtr\xdaixtf\xeo\x00\x1O  \xff\xd9 
jpg  y 20000000  \xff\xdölxtf\xei \xtf\xd9 
jpg y 20000000 \xff\xde \xtf\xd9 

# 

# BIP 

# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION) 
bmp y 100000 BM??\x00\x00\x00 

# ANIMATION FILES 

# PERFEEEREEEEEEEUELUULULULLLLUCEEEEEEEREUELDOLLLOLLLLLLLCCEE RER 

# 

# MPEG Video 
npg y 4000000 npg eof 
mpg y 20000000 \x00\x00\xOT\xba  \x00\x00\x01\xb9 
mpg y 20000000 \x00\xO0\xOT\xb3  \x00\x00\x01\xb7 

# 


# Macromedia Flash 
# fus  y 4000000 FWS 


# Word documents 

# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION) 
doe y 12500000 \xdO\xcf\x11\xe0\xat\xb1 

# 

# Outlook files 


pst y 400000000 
ost y 400000000 


\x21\x42\xke\xa5\x6f\xb5\xa6 
\x21\x42\x44\xde 


# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FÜNC- 
TION) 


pdf y 5000000 HPDF- HEOF 
# SOUND FILES 
#  nnnnnnnnnnnn PEPFERERERERERELELLULULLULLLLELEREERERELELTLLLLUUT 
Te RIFF???WAVE 
# 
# um y 8 \x30\x26\xB2\x75  \xOO\xDO\XOO\XFF 
f 
# uma y 80000 \x30\x26\xB2\x75  \nS2\x9Alx12\x46 
f 
np3 y 80000 \xFF\XFB??\x44\x00\x00 
nm: y 8 \xS7\x4i\x56\45  \xOO\xDO\XFF\ 
np3 y 80000 \xFF\XFB\xDON \xDI\35\x51\xcc\ 
mn: y 8 \x49\x44\x33\ 
np3 y 80000 \xae\xai\xaD\x45\ 


# 
# MISCELLANEOUS 
# 


# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION) 
# zip y 10000000 PK\x03\x04 \x3elxac 
# 


# java y 10000 \xca\xfe\xba\xbe 


In der Konfigurationsdatei muss man vor Beginn alle Dateitypen, nach denen 


man suchen will, auskommentieren. 


1X 5/2008 


3 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Forensik 


Foremost die extrahierten Dateien ab- 
legt. Der Ermittler kann sie dann sich- 
ten und bewerten. 


Scalpel 1.60 


Bei Scalpel handelt es sich um ein ähnli- 
ches Werkzeug, das auch in der Benut- 
zung kaum Unterschiede zeigt. Das ist 
nicht weiter verwunderlich, entstand 
es doch aus der kompletten Neupro- 
grammierung von Foremost, die insbe- 
sondere die Performanz erhöhen sollte. 
Die Installation des Tools ist daher na- 
hezu identisch, selbst die Konfigura- 
tionsdatei scalpel.conf kommt einem 
sofort bekannt vor (tatsächlich kann 
Scalpel auch die Datei foremost.conf 
lesen). Eine vorkompilierte Windows- 
Version wird ebenfalls mitgeliefert 
(Abb. 1). 
Man startet das Tool mit 


scalpel -p -c ./scalpel.conf 7 
/Images/1 I-carve-fat.dd 


Ergebnisse werden in das Verzeichnis 
scalpel-output geschrieben, allerdings 
nur, wenn es leer ist. Befinden sich dort 
noch Dateien, bricht das Tool mit einer 
Warnung ab, um nicht versehentlich 
ehemals extrahierte Dateien zu über- 
schreiben. Die Option -p erlaubt es der 
Forensikerin, eine Art Probedurchlauf 
(preview) durchzuführen, bei der das 
Tool nicht extrahiert, sondern nur die 


Kommerzielle Datei-Header-Suche auf dfrws-2006-challenge 
Werkzeuge, hier Dateiyplen) [An Quster-Grenzen suchen, zoleın bekanıı =] 
X-Ways Forensics, kassiere Fr 
benutzen dieselben Hader 
Techniken wie Open- BOLAAT 0 
R AOLART [ a) 
Source-Tools, jedoch = PL Panıbtush pc \ 
i einkan) [Enhanced Metalık (‚emi) 32 
in der Regel unter an hans frame al 1” En2IERB Bloc. Loglk anmenden, 
einer grafischen FF Individuelle Standandgrößen in Dateityp-Deiinition fe ee De | 
Benutzeroberfläche der (sm engere er & 
e RER EHEN WÄRRENKR. | FF Lesefehler ignaneren fir beschöchgte Datenträger] 
„versteckt“ (Abb. 2). Nonne fr medien | 
X abbrechen | Hile 


gefundenen Treffer in der Datei audit.rxt 
auflistet (Listing 2). 


Bi CarvFS$ 


Noch einen Schritt weiter gehen Tools, 
die das sogenannte „In Place Carving“ 
beherrschen. CarvFS und vergleichbare 
Werkzeuge etwa extrahieren die Dateien 
nicht, die sie in einem Image finden, 
sondern legen symbolische Links an, 
die direkt auf die entsprechenden Bytes 
dort verweisen. Diese Technik benötigt 
also ungleich weniger Speicherplatz 
während der forensischen Analyse, was 
sich gerade bei großen Festplatten be- 
merkbar machen kann. 

Bei CarvFS handelt es sich um ein 
auf dem Kernelmodul FUSE basieren- 
des virtuelles Dateisystem, in dem die 
zu suchenden Dateien wie gewohnt 
verwendet werden können. Der Befehl 


carvfs /mnt/carvfs raw 7 


Listing 2 


Scalpel version 1.60 


Witt 


en by Golden 6. Richard III, based on Foremost 0.69. 


Image file pass 1/2, 


Iimages/dfrus-2006-challenge.ran: 21.0% | | 10.0 MB 00:00 ETA 
Iimages/dfrus-2006-challenge.ran: 41.9% |x | 20.0 MB 00:00 ETA 
IImages/dfrus-2006-challenge.ran: 62.9% |* | 30.0 MB 00:00 ETA 
IImages/dfrus-2006-challenge.ran: 83.94 |x* | 40.0 MB 00:00 ETA 
IInages/dfrus-2006-challenge. ran: 100.04 |xx| 47.7 MB 00:00 ETA 
Allocating work queues... 

Work queues allocation complete, Building carve lists... 

Carve lists built. Workload: 

gif with header "\x47\x49\x46\x38\x37\x61" and footer "\x00\x3b" --> 0 fi 
gif with header "\x47\x49\x46\x38\x39\x61" and footer "\x00\x3b" --> 0 fi 
jpg with header "\xtf\xdölxff\xe0\x00\x10" and footer "\xff\xdg" --> 19 fi 
png with header "\x50\xde\x47\x3f" and footer "\xtf\xfelxfalnfe" > 0 fi 
bmp with header "\x42\x4d\x3f\x3f\x00\x00\x00" and footer "" --> 1 files 
tif with header "\n49\x49\x2a\x00" and footer "" --> 0 files 

tif with header "\n4d\x4d\x00\xda" and footer "" --> 2 files 

mov with header "\xäf\xäf\xäf\xäf\xod\xof\xof\x76" and footer "" --> 0 fi 
doc with header "\xdO\xef\x11\xe0\xat\xbi\xtalxei\x00\x00" and footer 
"\xdO\xef\xti\xe0\xat\xbi\xtalxei\x00\x00" --> 6 files 

doc with header "\xdO\xef\x1T\xe0\xat\xbi" and footer "" --> 6 files 

pdf with header "\x25\x50\x44\x46" and footer "\n25\x45\x4f\x46\x0d" --> 
pdf with header "\x25\x50\x44\x46" and footer "\n25\x45\x4f\xd6\xla" --> 
wav with header "\n52\na9\na6\nao\naf\naf\näflndflns7\nat\n5ölnds" and fo 
->0 files 

zip with header "\x50\x4b\x03\x04" and footer "\x3c\xac" --> 13 files 
Carving files from image. 

Image file pass 2/2, 

Iimages/dfrus-2006-challenge.ran: 21.04 | | 10.0 MB 00:00 ETA 
IImages/dfrus-2006-challenge.ran: 41.9% |x | 20.0 MB 00:00 ETA 
Iimages/dfrus-2006-challenge.ran: 62.94 |x | 30.0 MB 00:00 ETA 
IImages/dfrus-2006-challenge.ran: 83.9% |x* | 40.0 MB 00:00 ETA 
IInages/dfrus-2006-challenge. ran: 100.04 |xxx| 47.7 MB 00:00 ETA 


Processing of image file complete. Cleaning up... 


Done. 


Scalpel is done, files carved = 47, elapsed = 3 seconds. 


/\mages/ 1 1-carve-fat.dd 


führt dazu, dass eine bestimm- 
te Dateistruktur unterhalb von 
/mnt/carvfs/ angelegt wird, die 
wie folgt aussehen kann: 


total 128179 


d-x-x-x 3 root root OJan 17 
1970 CarvF$ 
es -r-r-r- | root root 131252224 Jan 17 
es 1970 CarvFS.crv 
es -rw-rw-rw- 1 rootroot 2545 Jan 17 
1970 README 

-rw--- | root root 95 Jan 17 
1970 ocfa.missing 

es 

Auf dieser Dateistruktur kann 
files anschließend mit den schon 
a bekannten Tools (aber auch 


Damit es nicht frühere Funde 
überschreibt, enthält Scalpel 
eine Funktion für einen 
Probedurchlauf, bei dem es 
nur die Treffer anzeigt und 
nicht gleich die gefundenen 
Daten extrahiert. 
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anderen forensischen Suiten wie „The 
Sleuthkit“ alias TSK) gecarvt werden: 


scalpel -p -c ./scalpel.conf /mnt/carvfs/ 7 
00000000000000000000000000000000/ 7 
CarvFS.crv 


Scalpel kam hier im Preview-Modus 
zum Einsatz, der nur eine einfache Text- 
datei erzeugt. CarvFS erlaubt jetzt mit 
dem mitgelieferten Skript scalpelcp, die 
Ergebnisse dieser Textdatei zu interpre- 
tieren und die Suchtreffer als symboli- 
sche Links zu den betreffenden Stellen 
im virtuellen Dateisystem anzulegen. 
Der Befehl 


scalpelcp ./scalpel-output/ /mnt/carvfs/ 7 
00000000000000000000000000000000/ 7 


CarvF$/ 


führt beispielsweise zu folgenden sym- 
bolischen Links auf gefundene Bilder: 


rwxrwxrwx 1 rootroot 69 Jul 18 15:40 7 
00000677.gif-> /mnt/carvfs/00000000000 7 
000000000000000000000/CarıFS/ 7 
64525824:3430.crv 

rwxrwxrwx 1 rootroot 69 Jul 18 15:40 7 
00000678.gif > /mnt/carvfs/00000000000000 7 
000000000000000000/CarvFS/ 7 
65545728:2802.crv 

rwxrwxrwx 1 rootroot 66 Jul 18 15:40 7 
00000679.jpg -> /mnt/carvfs/ 7 
00000000000000000000000000000000/ 7 
CarvF$/34304:43 10.crv 

rwxrwxrwx 1 root root 66 Jul 18 15:40 7 
00000680.jpg -> /mnt/carvfs/0000000000000 7 
0000000000000000000/CarvFS/ 7 
43008:2344.crv 


43008:2344.crv bedeutet, dass beim 
Offset 43008 eine 2344 Bytes große 
Datei beginnt. Durch die symbolischen 
Links kann man folglich eine ganze 
Menge an Plattenplatz einsparen. 


X-Ways Forensics 


Last but not least soll an dieser Stelle 
exemplarisch auch auf eines der zahl- 
reichen kommerziellen Forensikwerk- 
zeuge eingegangen werden. Alle diese 
Tools beherrschen selbstverständlich 
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auch unterschiedliche Carving-Mecha- 
nismen, verpacken diese Funktion aber 
wie erwartet in mehr oder weniger intu- 
itiv zu bedienende GUIs. 

X-Ways Forensics bietet beispiels- 
weise in der aktuellen Version 14.8 
mit den Menüpunkten „Dateien retten 
nach Typ“ sowie „Datei-Header-Sig- 
natursuche“ gleich zwei unterschiedlich 
mächtige Verfahren an (Abb. 2). Die 
darunterliegende Technik ist jedoch 
vergleichbar mit den oben erwähnten 
Tools. 

Die grafische Oberfläche erlaubt fer- 
ner die komplette forensische „Bearbei- 
tung“ der gecarvten Dateien innerhalb 
eines Programms, zum Beispiel auch 
einen in der Praxis recht nützlichen 
Vorschaumodus (Abb. 3). 


Im laufenden Betrieb 


Da die getesteten Werkzeuge sich nur 
in Details voneinander unterscheiden, 
kann ihre Bewertung an dieser Stelle 
gemeinsam erfolgen. 

Sämtliche hier beschriebenen Tools 
sind sehr schnell. Auf einem normalen 


pP Sı  A0oD ® 


Die nützliche 
Vorschaufunktion 
des kommerziellen 
Tools erlaubt eine 
schnelle Einordnung 
der gefundenen 
Dateien (Abb. 3). 


Arbeitsplatzrechner 

sind alle in der Lage, 
50 bis 150 MByte gro- 
Be Images in wenigen 


Sekunden zu durch- 
forsten. Dabei ist es wichtig, stets die 
aktuellen Versionen einzusetzen, da die 
Entwickler oft noch an der Performanz 
der Werkzeuge feilen. 

Mit Ausnahme von CarvFS benöti- 
gen alle Werkzeuge unter Umständen 
extrem viel Speicherplatz, um die re- 
konstruierten Dateien ablegen zu kön- 
nen. Hier sollte also nicht an Festplat- 
tenplatz gegeizt werden. Dies liegt 
auch und insbesondere daran, dass alle 
Tools üblicherweise viele Dubletten 
sowie „False Positives‘ liefern, die 
man anschließend manuell herausfil- 
tern muss (Abb. 4). 


Da das Dateiende etlicher Dateity- 
pen nicht definiert ist oder von den 
Tools aufgrund von Fragmentierung 
nicht erkannt wurde, sind die rekon- 
struierten Dateien oft viel größer, als es 
die Originale waren. Will man also im 
Rahmen einer forensischen Analyse et- 
wa ein rekonstruiertes GIF-Bild mit ei- 
nem anderen Bild vergleichen, kann 
man mit einem üblicherweise durchge- 
führten Prüfsummenvergleich (MD5, 
SHAI et cetera) nichts erreichen. Die 
Dateien kann man sich dennoch meist 
mit den normalen Viewern problemlos 
anschauen (Abb. 5). 
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Forensik 


Totkz Seurgs. Wrzom Hehe 


Location Edit View Go Bookmarks Tools Setings Window Help 


Q2992099, 4) KARE 


& Location: |® tmp/KEiLAX/Material/Tools/scapel-1.60/scalpel-outpi#/ = 41 


Selbst wenn ein rekonstruiertes Bild 
defekt ist, lässt es sich mit Viewern 
noch anschauen - per Prüfsummen- 
vergleich identifizieren kann man es 
allerdings nicht (Abb. 5). 


Original-Dateinamen können die 
Tools nicht rekonstruieren (man kann 
diese jedoch gegebenenfalls durch an- 
dere forensische Methoden wiederher- 
stellen), sondern die Bilder heißen bei- 
spielsweise 00000677.gif. Auch das ist 
jedoch kein forensisches Problem. 

Die Standardkonfiguration aller Tools 
ist bereits sehr umfangreich, dennoch 
muss man mit den Konfigurationen je 
nach zu analysierendem Image ein we- 
nig „spielen“, um zu brauchbaren Resul- 
taten zu kommen. Einige Dateiformate 
sollten bewusst ausgeblendet werden 
(aber welche?) und auch die maximale 
Dateigröße ist bestenfalls als Empfeh- 
lung zu sehen. Andererseits sind die 
Tools flexibel genug, selbst neue oder 
eigene (proprietäre) Dateiformate schnell 
definieren zu können. Orientieren kann 
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Dubletten und falsch- 
positive Funde 
kosten immens viel 
Speicherplatz und 
müssen überdies 
manuell aussortiert 
werden (Abb. 4). 


man sich hier etwa 
an Quellen wie www. 
wotsit.org. 

In der Praxis rü- 
cken die beschriebe- 
nen Einschränkungen 
jedoch je nach zu lö- 
sender Aufgabe in den 
Hintergrund, wenn es beispielsweise nur 
darum geht, „eindeutige“ (z. B. kinder- 
pornografische) Inhalte zu finden. 

Die Erfolgsquote der einzelnen 
Tools hängt auch stark von der richti- 
gen Konfiguration ab (etwa in Bezug 
auf die maximale Dateigröße). Daher 
wurde an dieser Stelle auf die Nennung 
expliziter Zahlen bewusst verzichtet 
und lediglich eine Einschätzung vorge- 
nommen. In der Standardkonfiguration 
arbeiten alle Tools zuverlässig und 
unterstützen den forensischen Prozess 
erheblich. Wer an konkreten Zahlen 
interessiert ist, sei auf die Arbeit von 
Bas Kloet [7] verwiesen. Dort vergleicht 
der Autor ein selbst entwickeltes Tool 
(Revit) mit Foremost und Co. 


Fazit 


File Carving wird für den IT-Forensi- 
ker immer wichtiger. Glücklicherweise 
gibt es eine Reihe vielversprechender 
Tools, die bei der Wiederherstellung 
von Dateien helfen. Dabei muss man 
nicht unbedingt tief in den Geldbeutel 
greifen, um gut funktionierende Soft- 
ware zu bekommen. Wie für alle ande- 
ren forensischen Tools gelten aber auch 
hier die folgenden Grundsätze: Einer- 
seits müssen die Ergebnisse der Tools 
in der Regel manuell nachbearbeitet so- 
wie insbesondere korrekt interpretiert 
werden, andererseits unterscheiden sich 
die Ergebnisse im Detail so stark von- 
einander, dass man sich nie auf ein ein- 
zelnes Tool verlassen sollte. Es soll da- 
her an dieser Stelle keine Empfehlung 
für ein bestimmtes Tool geben - keines 
arbeitet perfekt. 

An ihre virtuellen Grenzen kommen 
alle verfügbaren Tools mehr oder we- 
niger schnell, wenn die zu untersuchen- 
de Festplatte sehr stark fragmentiert 
oder schlicht viel zu groß ist. Dafür 


gibt es im Forschungsumfeld bereits 
heute vielversprechende Ansätze - zum 
Beispiel basierend auf Entropie-Unter- 
suchungen -, die die Tool-Sammlung 
der Forensiker sicher zukünftig erwei- 
tern werden [5, 6]. (ur) 
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Web-CMS 


ill man eine Website aufbauen, 
kommt man in vielen Fällen 
nicht an einem professionel- 


len Content-Management-System vor- 
bei. Ein Großteil der auf dem Markt 
verfügbaren Open-Source-Produkte (sie- 
he [1]) basiert auf PHP - für Drupal 
gilt das ebenfalls. Es ist ein etabliertes 
System, das prominente Kunden einset- 
zen: Warner Brothers, Amnesty Inter- 
national ebenso wie Sony BMG, Forbes 
und die Harvard University. 

Drupal stellt keine unerfüllbaren 
Forderungen an das Zielsystem: Das 
CMS arbeitet zuverlässig mit Apache 
ab 1.3 und Microsofts IIS ab 6.0, mit 
denen man PHP 5.x verwendet - an- 
dere Server mit PHP-Unterstützung 
funktionieren theoretisch ebenfalls. 
Empfohlen sind hierfür die üblichen 
Standardmodule für XML sowie GDLib 
und Imagemagick. Als Datenbank die- 
nen MySQL 4.3 beziehungsweise Post- 
greSQL 7.4 oder aktuellere Editionen. 
Drupal arbeitet weiterhin nur optimal 
mit Zugriff auf cron, damit regelmäßig 
wiederkehrende Aufgaben bearbeitet 
werden können. Diesem Artikel liegen 
Apache 2.2, PHP 5.2 sowie MySQL 
5.0 auf einem Dell Inspiron 1525 unter 
Ubuntu Linux 7.10 zugrunde. 

Drupal zeichnet sich vor allem durch 
Ansätze von sozialer Software aus, wo- 
durch es sich gut für den Aufbau einer 
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Community, Weblogs oder eines sozia- 
len Netzes eignet — kurzum für viele 
Projekte im Web 2.0. Nicht erst seit 
Version 6.0 enthält Drupal zahlreiche 
Module, die folgende Kernfunktionen 
ermöglichen: 

— Erstellen und Bearbeiten von Seiten 
und Artikeln in Kategorien, 

— Anlegen von Blogs und zugehörige 
Kommentarverwaltung, 

— Zusammenfassen von webbasierten 
Büchern und Forum, 

— Workflow-Management und Rechte- 
verwaltung für Benutzer. 

Interessant sind besonders die (XML-) 
APIs, mit denen man die Inhalte exter- 
nen Anwendungen bereitstellen kann. 
Über Zusatzmodule lässt sich Drupal 


A-TRACT 


© Drupal 6.x erlaubt die Aufteilung 
unterschiedlicher Aufgaben auf 
mehrere Abteilungen. 


@ Neben verbesserter Sprach- 
unterstützung sind die Highlights 
das neue Setup und der Update- 
Manager sowie die Content- 
Aktionen. 


@ Die Integration von OpenID und 
Drag&Drop-Verwaltung vervoll- 
ständigen das positive Bild. 


& Co. KG. Veröffentlichung und Vervielfältigung nur 


Drupal 6: Neue APIs und mehr Komfort 


Gemeinsam 


ans Web 


Markus Franz 


Drupal ist ein Web-Content- 
Management-System, das 


sich besonders bei Web-2.0- 


Communities großer Beliebtheit erfreut. 
Vor Kurzem haben die Entwickler 
die Major Release 6.0 und gleich danach 


Version 6.1 freigegeben. 


komfortabel beispielsweise mit einem 
WYSIWYG-Editor ergänzen. Am 13. 
Februar haben die Entwickler nun die 
Major Release der Version 6.0 ver- 
öffentlicht, die vor allem dem hohen 
Anspruch an Stabilität, Erweiterbarkeit, 
Internationalisierung und Bedienung 
Rechnung tragen soll. Eine Bugfix-Ver- 
sion 6.1 folgte noch im Februar. 
Drupal kommt über die Projektweb- 
site www.drupal.org als erfreulich klei- 
ner Download daher: Das Archiv ist nur 
knapp 1 MByte groß. Das mag für den 
Download zwar unerheblich erscheinen, 
wirkt beim Upload auf den eigenen 
Webserver aber angenehm. Dennoch 
hat sich Drupal enorm vergrößert: Die 
letzte Version der Serie 5 war noch 
knapp 740 KByte groß, Version 4.7 
schlug mit unter 500 KByte zu Buche. 
Im Vergleich zu anderen CMS ist Dru- 
pal aber immer noch angenehm schlank. 


Installer mit 
mehreren Profilen 


Für den Download hat man die Qual der 
Wahl: Neben der Standardausgabe ste- 
hen verschiedene weitere Distributionen 
bereit, die „Installation Profiles“ heißen. 
Die passen je nach Zielgruppe das CMS 
in Design, Standardseiten und Einstel- 
lungen an. Zwar ist dieses Feature schon 
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mit Version 5 hinzugekommen, ab Dru- 
pal 6 arbeiten die Profiles aber mit dem 
neuen Installer besser zusammen. So 
kann man beispielsweise für Konferen- 
zen speziell angepasste Webseiten ein- 
fach aufsetzen. 

Der neue Installer ist ein komplett 
überarbeitetes Highlight der Version 6. 
Er liefert ein von lokaler Software ge- 
wohntes Interface mit einer Anzeige 
der Punkte am linken Rand: Sobald ei- 
ner erledigt ist, wird dieser mit einem 
Haken markiert. Insgesamt durchläuft 
der Installationsprozess folgende Schrit- 
te: Im ersten Anlauf wählt man aus, ob 
Drupal in englischer Sprache oder ei- 
ner anderen zu installieren ist. Zusätz- 
lich verfügbare Sprachen werden direkt 
in den Installer importiert, sodass man 
diese direkt auswählen kann — ange- 
nehm ist, dass der Assistent gleich in 
der gewählten Sprache weitermacht. 

Bei der Systemumgebung hat sich 
kaum etwas zu Version 5 geändert. 
Man sollte aber von Anfang an auf 
PHP 5.2 setzen, da dies eine zwingende 
Voraussetzung für die nächsten Versio- 
nen sein soll. Nachdem man die Zu- 
gangsdaten für die Datenbank angege- 
ben hat (MySQL oder PostgreSQL), ist 
die Installation mit der Konfiguration 
der Website (Titel, URL et cetera) ab- 
geschlossen. 

Nach der Installation prüft Drupal 
automatisch, ob das Modul „Clean 
URLs“ (URL Rewriting) aktiviert wer- 
den kann - in diesem Fall muss man 
nicht mehr manuell die Einstellungen 
in der Administration kontrollieren und 
aktivieren. Das Files-Verzeichnis ei- 
genhändig einzurichten, ist nicht mehr 
erforderlich — sofern die entsprechen- 
den Rechte gesetzt sind, legt der Instal- 
lationsassistent dieses automatisch an. 


An der blauen 
Oberfläche 


Die fertige Installation von Drupal 6 
kommt im gleichen blauen Gewand da- 
her wie die Vorversion. Beeindruckend 
fällt das neue Drag & Drop in der Admi- 
nistration auf: An vielen Stellen kann 
man einfach durch Ziehen und Ablegen 
die Inhalte verändern. Unter anderem 
kann man die Menübäume der Website 
ebenso platzieren wie die Inhalte einer 
Seite. So lässt sich beispielsweise der 
Seitentitel beliebig verschieben - faszi- 
nierend für ein webbasiertes CMS. Un- 
ter Safari zeigten sich aber immer wie- 
der kleine Fehler beim Verschieben, die 
bei anderen Browsern nicht auftreten 
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Identitätsmanagement über Plattform- und Anwendungsgrenzen hinweg: 
Benutzer können sich mit OpenID bei Drupal 6 anmelden (Abb. 1). 


sollten. Drag & Drop lässt sich auch im 
Forum, auf hochgeladenen Dateien oder 
Feldern in Benutzerprofilen nutzen. 
Außerdem hat Drupal die Internatio- 
nalisierung wie angesprochen verbes- 
sert: Nicht nur im Installer, sondern auch 
im laufenden Betrieb werden neue Spra- 
chen automatisch erkannt und aktiviert, 
ebenso wie neue Module oder Design- 
themen. Zusätzlich gibt es das Modul 
„Localization Client‘, mit dem über eine 
Ajax-basierte Oberfläche die gerade be- 
trachtete Seite übersetzt werden kann. 
Gleichzeitig ermöglicht dieses Modul 
den Import von Übersetzungen aus Dru- 
pal 5 und erleichtert so die Migration. 
Die bedeutendste Änderung in Ver- 
sion 6 ist aber die Unterstützung von 
OpenID - ein System zum Identitätsma- 
nagement über Plattform- und Anwen- 
dungsgrenzen hinweg: Jeder kann einen 
OpenID-Server betreiben und sich an- 
melden. Dabei hat der Nutzer den Vor- 
teil, sich nicht Hunderte Kombinationen 
von Name und Kennwort merken zu 
müssen: Über die einheitliche Online- 
Identität kann jeder so an Drupal teil- 
nehmen. Für den Aufbau einer Com- 
munity kann dies ein entscheidender 
Vorteil gegenüber der Konkurrenz 
sein, da es die Hemmschwelle zur Mit- 
arbeit senkt - allerdings ist OpenID in 
Deutschland noch kaum verbreitet. 
Hat man sich mit dem neuen CMS 
ein wenig angefreundet, fällt ein weite- 
res Leistungsmerkmal auf: die Content- 
Aktionen. Über den Actions-Dialog 
kann man genau festlegen, ob etwa ei- 
ne E-Mail bei einem neuen Post ver- 


sendet werden soll oder der Benutzer 
einen Hinweis enthält. Diese Aktionen 
lassen sich über ein Dropdown-Menü 
auf Posts, Benutzer und Kommentare 
anwenden. So hat man außer der bis- 
her etablierten Rechteverwaltung und 
dem Workflow-Support eine weitere 
Option, Projekte effizient zu koordi- 
nieren und komplexe Zusammenhän- 
ge zwischen Benutzern und Seitenin- 
halten abzubilden. 


Verwaltung von 
Inhalt und Vorlagen 


Für Webdesigner bietet Drupal 6 Span- 
nendes: reine CSS-Designs, die ohne 
eine einzige Zeile HTML- oder PHP- 
Code auskommen. Sie basieren auf ei- 
ner einzigen .info-Datei, in der man 
Abhängigkeiten definieren kann. Mit 
Drupal lassen sich Entwicklung, Admi- 
nistration und Themen in verschiede- 
nen Abteilungen bearbeiten, die kom- 
plett unabhängig arbeiten können. 
Gleichzeitig existiert ein Modul, das 
speziell für Themenentwickler gedacht 
ist. Damit lassen sich nicht nur Abhän- 
gigkeiten, sondern außerdem Seitenbe- 
reiche sowie Funktionen und Klassen 
anzeigen. Diese Zusatzinformationen 
machen das System zu einer interessan- 
ten Option für Webdesigner, die kom- 
merzielle Designs entwerfen. Möchte 
man nur einfache Änderungen am be- 
stehenden Thema vornehmen, ist das 
mit der neuen Release erheblich einfa- 
cher: Jeder noch so kleine Abschnitt 
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Nur für den Admin oder für eine Gruppe: Der automatische Updater prüft 


regelmäßig auf Neuerungen (Abb. 2). 


kann über eine reine HTML-Datei ver- 
ändert werden — man muss daher nicht 
über PHP-Kenntnisse verfügen. Schon 
aus den Namen der Dateien für das 
Template (wie forum-icon.tpl.php, fo- 
rum-list.tpl.php) lässt sich der Sinn des 
Elements schnell erschließen. 

Darüber hinaus enthält Drupal jetzt 
eine aktualisierte JQuery-Javascript-Bi- 
bliothek, die das CMS intensiv nutzt 
und die sich für eigene Entwicklungen 
direkt einsetzen lässt. Überhaupt taucht 
in der neuen Version an allen Ecken 
und Enden ein Javascript-basiertes In- 
terface auf: Auf der einen Seite erhöht 
das den Komfort, lässt andererseits 
Browser mit mangelhaftem Support für 
Javascript/Ajax scheitern. 


Benachrichtigung 
des Admin 


Sensible Bereiche beim Betrieb eines 
Content-Management-Systems sind Ge- 
schwindigkeit und Sicherheit. Beide 
Aspekte lassen kaum Kompromisse zu 
und machen es den Entwicklern in der 
Open-Source-Szene nicht immer ein- 
fach: Insbesondere die prominenten 
(Unternehmens-)Kunden haben hohe 
Erwartungen an ein CMS. Das Dru- 
pal-Team versucht, diese zunächst mit 
einem neuen Update-Manager zu er- 
füllen: Als erstes Web-CMS benach- 
richtigt Drupal den Administrator, so- 
bald Sicherheitsupdates verfügbar sind. 
Über Updates für Module und Themen 
wird man ebenfalls informiert. 
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Gibt man beim Anlegen eines neu- 
en Benutzerkontos ein Kennwort ein, 
sorgt die neue Release ebenfalls für 
mehr Sicherheit: Sie zeigt gleich die 
Stärke des Passworts an und warnt den 
Anwender bei zu schwachen Einga- 
ben. Neben einigen Änderungen im 
Detail, die zur Sicherheit beitragen, ha- 
ben die Entwickler ein Security Team 
gebildet. Dieses koordiniert Sicher- 
heitsaspekte des CMS sowie Meldun- 
gen von Anwendern und organisiert 
Security Fixes. Das Team hat außer- 
dem dafür gesorgt, dass die angewach- 
senen Kernmodule in mehrere kleine 
aufgeteilt wurden, die sich besser über- 
wachen lassen. 

Drupals Geschwindigkeit haben die 
Entwickler auf verschiedenen Ebenen 
signifikant optimiert. Das System läuft 
nun hinter einem Reverse Proxy (bei- 
spielsweise Squid). Gleichzeitig wer- 
den Dateien jetzt nicht mehr einzelnen 
Posts, sondern wieder Benutzern zuge- 
ordnet, was die Handhabung erleich- 
tert. Neue Funktionen prüfen Format 
und Größe, was sich ebenfalls positiv 
auf die Geschwindigkeit auswirkt. 

Zu guter Letzt beinhaltet Drupal 6 
zwei neue APIs: 

— Schema-API: Mit dieser Schnittstelle 
kann man auf die Datenbank hinter 
dem CMS zugreifen und Tabellen ver- 
walten. Es bietet besseren Support für 
andere Datenbanken als MySQL. (Man 
darf gespannt sein, wann der geplante 
Oracle-Support endlich stabil ist.) 

— Batch-API: Schnittstelle für zeitauf- 
wendige Prozesse, die im Hintergrund 


bearbeitet werden können. Es zeigt den 
Fortschritt der Aktionen an. 

Zu den dargestellten Neuerungen 
kommen einige Veränderungen im De- 
tail. In jedem Fall sollte man bei einem 
Update auf die neue Major Release 
vorsichtig sein: Es empfiehlt sich, mit 
einer sauberen neuen Installation zu 
starten und anschließend die Inhalte 
und Designs sowie Module schrittweise 
zu migrieren. Viele Kernmodule sind in 
ihrer Struktur verändert, und die Ent- 
wickler haben konzeptionell viel erneu- 
ert - nur mit einer sauberen Installation 
kann man sich eine stabile Umgebung 
einrichten. 


Fazit 


Mit OpenID, den Verbesserungen bei 
Sicherheit und Stabilität sowie dem er- 
weiterten Komfort bei Benutzerverwal- 
tung und Design durch Drag & Drop 
schließt Drupal nicht nur zu anderen 
Content-Management-Systemen auf. Es 
übertrifft diese teilweise an Qualität und 
Erweiterbarkeit sowie bei der Internatio- 
nalisierung. Und es setzt sich damit an 
die Spitze für Communities. Im Unter- 
nehmensumfeld bleibt es spannend, ob 
die PHP-basierte Plattform sich hier 
weiter durchsetzen kann. (hb) 
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Ä-Wertung 
©® Integration von OpenID zur Benutzer- 
anmeldung 


@® neuer Update-Manager für 
Aktualisierungen 


© Administration verwendet Ajax im 
Browser. 

© alte Module und Plug-ins laufen nicht 
mehr 

© Drupal setzt Zugriff auf cron voraus. 
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Dokumentenmanagement 


Main Pyrus: Archivierung auf Open-Source-Basis 


Akten unter Strom 


Jochen Kokemüller 


Jedes Unternehmen hat mit Unmengen an Dokumenten zu tun, 
die es zum großen Teil revisionssicher und über Jahre aufbe- 
wahren muss. Programme für das Dokumentenmanagement sind 
teuer, Open-Source-Lösungen rar. Main Pyrus DMS ist eine der 
wenigen Ausnahmen. 


b einer bestimmten Betriebsgrö- 
R: wächst die Verwaltung über- 

proportional und damit auch die 
Menge der zu verwaltenden Schriftstü- 
cke. Hinzu gesellen sich die von den 
Fachabteilungen erstellten Rechnungen, 
Bestellungen, technischen Zeichnungen 
und so weiter. Vieles davon unterliegt 
rechtlichen Rahmenbedingungen, Rech- 
nungen muss eine Firma beispielsweise 
zehn Jahre aufheben, Geschäftsbriefe 
darf sie schon nach sechs Jahren ver- 
nichten. Um die Aktenberge sicher zu 
lagern, ist die Firma oft gezwungen, 
zusätzliche Räumlichkeiten anzumie- 
ten. Hier steckt natürlich erhebliches 
Rationalisierungspotenzial durch digi- 
tale Archivierung. 

Erfahrungen des Fraunhofer IAO zei- 
gen, dass die Lizenzen für ein archivbe- 
tontes Dokumentenmanagementsystem 
(DMS) ohne Workflow-Komponenten 
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200 bis 400 Euro pro Arbeitsplatz kos- 
ten. Hinzu kommt das Anpassen an die 
jeweilige Umgebung, das rund die 
Hälfte bis das Doppelte der Lizenzkos- 
ten ausmacht. Für ein mittelständisches 
Unternehmen ist hier die Schmerzgren- 
ze schnell erreicht. 

Als Alternative zu den kommerziel- 
len DMS findet man bisher nur wenige 
Open-Source-Produkte, darunter jedoch 
einige Perlen. Drei stechen besonders 
heraus: Alfresco, Nuxeo und Main Py- 
rus DMS. Bei allen stehen Unterneh- 
men im Hintergrund, die sich um die 
Weiterentwicklung kümmern. Aller- 
dings sind die beiden erstgenannten 
nicht im deutschen Markt aktiv, sie 
konzentrieren sich auf Großbritannien 
beziehungsweise Frankreich. Main Py- 
rus DMS existiert seit 2003, hauptver- 
antwortlich für diese Software zeichnet 
die Main IT in Kelkheim. Sie achtet 


darauf, dass nur stabile Versionen auf 
den Markt kommen. Neben der deut- 
schen Version gibt es englische, rumä- 
nische und ungarische Varianten. 

Ein verbreitetes DMS-Konzept sind 
Dokumentenklassen wie Rechnung und 
Bestellung. Attribute, etwa Rechnungs- 
Nr. oder Datum, beschreiben die Klas- 
sen näher. Main Pyrus verfügt über 
umfangreiche Möglichkeiten, solche 
Klassen und Attribute anzulegen und 
zu konfigurieren. Das System lässt sich 
so einrichten, dass beispielsweise eine 
Rechnungsnummer zwingend ist, das 
Format der Steuernummer vorgegeben 
und die Auswahl von Artikelnummern 
aus einer Liste erfolgen muss. 


Dokumente in der 
Klassengesellschaft 


Ein Dokument gehört in Main Pyrus im- 
mer zu einer Klasse. Es darf mehreren 
Klassen zugeordnet sein, etwa wenn es 
gleichzeitig als Lieferschein und Rech- 
nung fungiert oder wenn sich dadurch 
verschiedene Sichten erstellen lassen, 
wie öffentliche und interne Informatio- 
nen zu Ausschreibungen. 

Die Suche nach bestimmten Doku- 
menten ist über alle Dokumentenklassen 
möglich, zum Beispiel via Klassenattri- 
but Kunden-Nr. Steht die Kundennum- 
mer allerdings nicht auf der Bestellung, 
findet man auch nichts. Hier hilft ein 
mächtiges Konzept, nämlich das der 
Projekte. Sie orientieren sich an Map- 
pen, die mehrere Dokumente enthalten 
(etwa Kundenakten). Sie werden, wie 
die Klassen, mit Attributen beschrieben, 
beispielsweise wieder mit der Kunden- 
nummer. In diesem Fall wäre es uner- 
heblich, wenn diese auf dem einzelnen 
Dokument fehlt. 

Papierdokumente gehören in der Re- 
gel nur zu einer Mappe. Viele DMS rea- 
lisieren diese Gruppierung durch Pfade 
wie im Dateisystem. Doch bei Pfaden 
verhält es sich wie bei den Mappen: Ein 
Dokument liegt nur an einer Stelle. In 
Main Pyrus hingegen darf ein Doku- 
ment zu beliebig vielen Projekten gehö- 
ren, Pfade existieren hier nicht. 

Der Administrator kann Benutzer 
und Gruppen anlegen. Eine Besonder- 
heit ist, dass Gruppen wiederum zu 
Gruppen gehören dürfen. Dadurch las- 
sen sich sowohl Gruppen als auch 
Rollen abbilden. Die Rollen Mitarbei- 
ter Service und Leitung Service werden 
als Gruppen definiert, wobei Letztere 
möglicherweise nur ein Mitglied hat. Sie 
können wiederum zur Gruppe Service 
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gehören, die Tiefe dieser Hierarchien 
ist nicht limitiert. 

Dokumente, Klassen, Projekte und 
Projekttypen lassen sich mit Rechten 
ausstatten. Für den Zugriff auf ein Do- 
kument ist allerdings nur das Recht an 
ihm selbst entscheidend, die Rechte an 
Klassen und Projekttypen ermöglichen 
lediglich die Suche. Zusätzlich regeln 
die Rechte, wer bestimmte Projekte oder 
Dokumente anlegen darf. 


Komplizierte 
Verwaltung der Rechte 


Es gibt positive, neutrale und negative 
Rechte, Letztere sind eine Besonderheit 
in Main Pyrus. Dahinter steht die Über- 
legung, dass sich Rechte über kom- 
plizierte Vererbungsbeziehungen durch 
Gruppenzugehörigkeiten und Vertretun- 
gen übertragen lassen. In der Konse- 
quenz ist es nicht möglich, einzelnen 
Benutzern den Zugriff auf Dokumente 
dediziert zu verbieten. Genau dieses 
leistet das negative Recht. 

Beim Dokumentenaufruf überschreibt 
ein gefundenes negatives Recht alle po- 
sitiven Rechte und verhindert somit den 
Zugriff. Doch auch hier gilt: keine Re- 
gel ohne Ausnahme. Vertretungsbezie- 
hungen (beispielsweise Urlaubsvertre- 
tungen) geben zwar die positiven, aber 
nicht die negativen Rechte weiter. Diese 
Ausnahme ist notwendig, denn ansons- 
ten könnte der Zugriff auf ein Doku- 
ment versperrt sein, weil der Vertretene 
es nicht sehen darf. 

Dieses komplizierte Rechtesystem 
hat Nachteile. Es ist undenkbar, dass 
eine Suchanfrage es schafft, alle Bezie- 
hungen dynamisch aufzulösen. Die 
Entwickler entschlossen sich daher, alle 
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Alle Systemkomponenten dürfen 
grundsätzlich auf separaten Rechnern 
laufen, was eine gute Skalierung 
verspricht (Abb. 1). 


iX 5/2008 


Rechtebeziehungen in zyklischen Inter- 
vallen auf simple Tabelleneinträge her- 
unterzubrechen. Einfache Rechteände- 
rungen übernimmt das System sofort. 
Komplizierte Aktionen, wie das Anle- 
gen eines neuen Benutzers oder einer 
neuen Vertretung, wirken erst nach ei- 
nem flush privileges, den das System 
voreingestellt jede Nacht ausführt. 

Leider bietet das DMS keine Funk- 
tion für den Import von Benutzerprofi- 
len. Da dieser Vorgang meist nur einmal 
(bei Inbetriebnahme des Produktes) not- 
wendig ist, kann dies ein Dienstleister 
im Rahmen der übrigen Datenmigration 
erledigen. 

Wer Dokumente aus einer Fachan- 
wendung automatisiert in Main Pyrus 
exportieren will, muss sie mit Meta- 
daten beschreiben und diese in einer 
XML-Datei ablegen. Hier stehen dann 
alle Informationen zu Klassen, Benut- 
zern, Gruppen und Projekten. Main 
Pyrus lässt sich so einstellen, dass es 
automatisch Projekte anlegt und die 
übertragenen Dateien hier über eine 
Vorgangsnummer richtig einsortiert. 


Viele Pfade 
führen ins System 


Für die Übergabe der XML-Datei 
existieren mehrere Wege. Einerseits 
über die nativen Java- und C-APls 
oder per Kommandozeile am Linux- 
Client. Die Kommunikation mit dem 
Main-Pyrus-Server wird SSL-ver- 
schlüsselt (OpenSSL), die Authentifi- 
zierung über SSL-Zertifikate abgewi- 
ckelt. Alternativ (bei einer lokalen 
Verbindung) erfolgt die Authentifizie- 
rung aus Geschwindigkeitsgründen via 
Unix-Sockets. Das DMS skaliert gut 
in großen Umgebungen, denn System- 
komponenten wie Daemon, Interface, 
Datenbank, Dateisystem, Officer und 
Scan-Client können auf verschiedenen 
Maschinen laufen (Abbildung 1). Ein 
Betrieb im Cluster ist möglich. 

Der genannte Server (Main Pyrus 
Daemon) bildet das Backend. Seine 
Aufgaben sind das Einspielen neuer Do- 
kumente, das Zugriffsmanagement so- 
wie die Wartung des Rechtesystems. 
Für Letztere benutzt er eine eigene, an 
SQL angelehnte Domain Specific Lang- 
uage (DSL). Wenn der Administrator et- 
wa das Rechtesystem erneuern will, gibt 
er auf der Kommandozeile ein: 


$>pyrus -u admin -p passwort -q "flush privileges" 


Sind die Dateien aus dem Fremdsystem 
in Main Pyrus angekommen, wandelt 


archiviert und 
protokolliert 
alle Aktionen 


Main Lonicero 
Journaling 


führt Aktionen 
zwischen letztem 


Backup und 
Systemcrash aus 


ruft auf 


Ghostscript 


Pyter 


benutzt 
Programme 
für Format- 
konversionen 


neiPBM 


Das Web-Interface bietet den popu- 
lärsten Systemzugang. Hier die Ansicht 
eines Dokuments mit allen seinen 
konvertierten Formaten (Abb. 2). 


Openoffice 


das DMS sie in die gewünschten Forma- 
te um. Hintergrund: Ein Unternehmen 
muss wie anfangs erwähnt auf viele di- 
gitale Unterlagen auch nach einer langen 
Zeitspanne noch zugreifen können. Die 
Fachanwendung, aus der die Dokumen- 
te stammen, hat dann möglicherweise 
schon lange das Zeitliche gesegnet. In 
PDF/A oder TIFF konvertierte Doku- 
mente sind wesentlich zukunftssicherer 
als irgendwelche proprietären Formate. 

Die Formatwandlung erledigt das 
Konvertierungs-Framework Pyter. In ei- 
ner Konfigurationsdatei legt der Anwen- 
der seine unterschiedlichen Ein- und 
Ausgangsformate sowie die Konvertie- 
rungsprogramme fest, die er einsetzen 
will, beispielsweise die netPBM-Suite 
oder Imagemagick. Im zweiten Schritt 
erzeugt das Framework eine Liste der 
Verarbeitungsketten, die alle mög- 
lichen Pfade zwischen Eingabeformat 
und Ausgabeformat enthält. Dann sor- 
tiert das Framework die Pfade nach den 
Kosten, also nach dem kürzesten Weg. 
Am günstigsten wäre eine Ein-zu-eins- 
Konvertierung ohne Umweg über ein 
drittes Programm oder Format. Pyter 
beginnt mit dem ersten Pfad und ver- 
sucht die Konvertierung. Klappt die 
nicht, nimmt es den nächsten Pfad und 
so weiter. Dieser Ablauf garantiert ei- 
ne recht sichere Formatwandlung in 
automatisierten Prozessen, da man die 
jeweils besten Programme dafür einset- 
zen kann und diese Arbeit nicht bei 
Main Pyrus hängenbleibt. 

Im Regelfall arbeitet der Benutzer mit 
den Dokumenten über das Web-Inter- 
face (Abbildung 2). Es setzt sich zusam- 
men aus einer PHP-Anwendung, die die 
Programmabläufe steuert, sowie den 
XML-Dateien für die Seitenbeschrei- 
bung. Programmcode und Präsentation 
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Für Journaling und Formatkonvertierung setzt Main Pyrus die separaten 
Komponenten Lonicera und Pyter ein (Abb. 3). 


sind also klar getrennt. Die Oberfläche 
ist aus einer Art angereichertem HTML 
aufgebaut, vergleichbar mit JSP. Die 
XML-Dateien lassen sich leicht anpas- 
sen, ohne dass man den Programm- 
code ändern oder gar verstehen muss. 
Die Ausgabe des Dokumententitels als 
HTML-Überschrift 1 könnte beispiels- 
weise so aussehen: <h/><mit:doc_tit- 
le/></hl>. Eine leider unüberschauba- 
re Liste aller vorhandenen XML-Tags 
liegt unter: /src/tokens/xml_tokens.php. 
Zwar lässt sich die Oberfläche darüber 
an eigene Vorstellungen anpassen, die- 
ses Unterfangen erfordert allerdings 
sehr großen Aufwand. 

Alle angefertigten Webseiten liegen 
in /main-it. Wenn man dieses Verzeich- 
nis kopiert und die Konfigurationsdatei 
‚/conf.php entsprechend modifiziert, 
kann Main Pyrus kundenspezifische 
Ausprägungen der Seiten generieren. 
Dies ist insbesondere dann interessant, 
wenn es für mehrere Mandanten ge- 
schehen soll, beispielsweise im gehos- 
teten Betrieb. 

Einen weiteren Baustein stellt der 
Journaling-Server Main Lonicera dar, 
der jede Änderung an den Dokumenten 
mitschreibt. Alle Aktionen ab einem be- 
stimmten Zeitpunkt kann der Adminis- 
trator (etwa nach einem Plattencrash) 
neu starten (Abbildung 3). Bedienen 
muss er den Server per Kommandozei- 
le, ein Web-Interface wäre natürlich 
wünschenswert. 
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Es existieren mehrere Möglichkei- 
ten, ein Dokument im DMS abzulegen. 
Einerseits kann der Input aus den ange- 
bundenen Fremdsystemen erfolgen, an- 
dererseits per direkter Übergabe an den 
Unix-Client. Für die letztgenannte Op- 
tion bietet Main Pyrus Übertragungs- 
funktionen via E-Mail oder FTP. All 
diese Wege eignen sich insbesondere 
für automatisierte Verfahren. 

Für die manuelle Dokumentenab- 
lage gibt es ebenfalls zwei Varianten. 
Einerseits über die Weboberfläche 
(Menüpunkt: neues Dokument hinzufü- 
gen und andererseits per Java-Anwen- 
dung Main Pyrus Officer. Die Doku- 
mente kann man manuell auswählen, 
über ein Openoffice-Plug-in überneh- 
men oder via Main Pyrus Scan scan- 
nen. Letztere Anwendung beherrscht 
das Einlesen von Stapeln, das nachträg- 
liche Sortieren der Seiten, sowie das 


Main-Pyrus-Homepage 
www.mainpyrus.org 


Main-Pyrus-Downloads 
sourceforge.net/projects/mainpyrus/ 
Main IT 
www.main-it.de 
Journaling-Modul Main Lonicera 
sourceforge.net/projects/mainlonicera/ 
Konvertierungs-Framework Pyter 
sourceforge.net/projects/pyter/ 


Gruppieren zu unterschiedlichen Pro- 
jekten. Leider lassen sich MS-Office- 
Programme bisher nicht einbinden. 


Fazit 


Main Pyrus ist ein ausgewachsenes 
DMS mit Archivierungsschwerpunkt. 
Es bietet keine Workflow-Komponen- 
ten, beispielsweise für einen auto- 
matisierten Zeichnungsprozess, dafür 
Mandantenfähigkeit und gute Skalie- 
rungsfähigkeiten. Bemerkenswert sind 
die hohe Sicherheit vor Datenverlust, 
die das Modul Main Lonicera schafft, 
die flexible Ablagestruktur sowie die 
Anpassungsfähigkeit an individuelle 
Bedürfnisse. 

Diese Eigenschaften überzeugten 
das Fraunhofer IAO davon, das DMS 
in einem vom Bundesministerium für 
Wirtschaft und Technologie geförder- 
ten Projekt einzusetzen. Ein mittel- 
ständischer Maschinenbauer arbeitet 
ebenfalls damit. Weitere Unternehmen 
planen die Migration. 

Für mittelständische Firmen stellt 
das Open-Source-Produkt Main Pyrus 
eine ernstzunehmende Alternative zur 
lizenzkostenpflichtigen Konkurrenz dar. 
Allerdings darf man nicht erwarten, 
gänzlich kostenlos davonzukommen. 
Einen IT-Dienstleister benötigt man für 
Wartung und Betrieb schon. Allerdings 
ist man bei der Wahl frei und nicht an 
einen Hersteller gebunden. Beispiels- 
weise bieten Gonicus oder Netcon Sup- 
port an. Dass Main Pyrus unter der GPL 
steht, verspricht Investitions- und Zu- 
kunftssicherheit. (jd) 


JOCHEN KOKEMÜLLER 


ist wissenschaftlicher Mitarbeiter 
am Fraunhofer Institut für Arbeits- 
wirtschaft und Organisation (AO). 
Seine Schwerpunkte liegen in den 


Bereichen DMS, SOA und mobile 
Anwendungen. 


© flexible Ablagestruktur 
© hohe Datensicherheit 
® skaliert gut 


& Investitionssicherheit 


© keine Workflow-Komponenten 
© keine MS-Office-Integration 
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Shell-Programmierung 


Microsoft. PowerShelklot 
Microsalt.Powershell lot 


PowerShellPlus: Eine IDE für Microsofts neue Shell 


Muschel verpackt 


Holger Schwichtenberg 


Die wegen ihrer Leistungsfähigkeit viel gepriesene PowerShell 
bietet bisher nur eine unkomfortable Benutzeroberfläche. 
Microsoft hat es bisher nicht geschafft, der Shell ein 


angemessenes GUI zu verpassen. Diese Lücke schließt nun 
das Third-Party-Tool PowerShellPlus. 


eim ersten Start der Windows 
B PowerShell ist sicher mancher Ad- 
ministrator enttäuscht, denn er 
sieht nur ein schwarz-weißes Komman- 
dozeilenfenster, wie man es seit Jahren 
von der cmd her kennt. Aus den ur- 
sprünglichen Redmonder Ankündigun- 
gen, die Konsole mit IntelliSense auszu- 
statten, ist bis heute nichts geworden. 
Man kann zwar Commandlet-Na- 
men und -Parameter mit der Tabulator- 
Taste vervollständigen, dennoch bietet 
die Shell prinzipiell kaum mehr Kom- 
fort als die alte Muschel. Von der 
Unterstützung eines Visual Studio ist 
die Konsole weit entfernt. Für die Be- 
arbeitung von Skripten (.ps/-Dateien) 
bietet Microsoft keine andere Lösung 
als notepad an. 
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Die PowerShellPlus hingegen zeigt 
sich bereits beim ersten Start mit um- 
fangreicher Menü- und Symbolleiste 
sowie mehreren Fenstern (s. Abbildung 
oben). Vorweg ist zu bemerken, dass 
diese IDE intern auf der Version 1.0 


der Original-Shell aufsetzt und alle Be- 
fehle beziehungsweise Skripte, die man 
hier erstellt, vollständig kompatibel zu 
den Befehlen der von Microsoft ausge- 
lieferten Konsole sind. 


IDE bringt mehr Komfort 


PowerShellPlus vereinfacht die Erfas- 
sung und das Testen von Befehlen. Man 
benötigt das Tool aber nur auf dem Sys- 
tem, an dem der Administrator interak- 
tiv arbeitet. Zur Laufzeit (zum Beispiel 
bei Anmeldeskripten) reicht die normale 
PowerShell aus. Da alle klassischen 
Kommandozeilenbefehle der cmd in der 
neuen Shell und damit in der IDE aus- 
führbar sind, können auch Administra- 
toren, die noch mit der cmd arbeiten, 
von der Plus-Konsole profitieren. 

Bei einigen der Darstellungsoptio- 
nen, die die PowerShellPlus bietet, kann 
man sich nur fragen, wieso diese in der 
Redmonder Version fehlen. In diese Ka- 
tegorie gehören sicherlich die stufenlose 
Vergrößerung des Fensters und die 
Unterstützung für Kopier- und Einfü- 
geaktionen mit Strg + C und Strg + V. 
Vollen Einfluss auf die Schriftarten hat 
man, wenn als Unterbau Vista oder der 
2008-Server werkelt. 

Der wesentliche Vorteil liegt in der 
Eingabeunterstützung bei der Erfassung 
von Befehlen. Die IDE bietet hier Vor- 
schlagmenüs im Stil der IntelliSense 
vom Visual Studio. Sie hilft bei der 
Eingabe von Commandlet-Namen und 
-Parametern sowie bei Variablenna- 
men, Pfadangaben und direkten .Net- 
Anwendungen. Besonders eindrucks- 
voll ist die Eingabeunterstützung bei 
der Nutzung von .Net-Klassen über das 
Commandlet New-Object und dem an- 
schließenden Zugriff auf Klassenmit- 
glieder. Auch für Klassen der Windows 
Management Instrumentation (WMI) 
gibt es Vorschläge, wenn man eine 
Eingabe nach Get-WmiObject mit den 
typischen Klassenpräfixen WIN32_ oder 
CIM_ beginnt. 


PowerShell-Editor von Microsoft 


Im Zuge von Version 2.0 der PowerShell 
will Microsoft auch einen Skripteditor lie- 
fern. Aktuell ist die „Graphical Power- 
Shell“ noch grausam rudimentär: Sie bietet 
nur Syntaxhervorhebung und eine Ausfüh- 
rungsumgebung für Befehle und Skripte. 
Eingabehilfen durch Tabulatorvervollstän- 
digung und IntelliSense im Stil von Visual 
Studio sind aber geplant. Immerhin kann 


man schon jetzt über mehrere Registerkar- 
ten verschiedene sogenannte PowerShell 
Runspaces gleichzeitig betreiben. Die Vor- 
abversion bekommt man unter www.micro 
soft.com/downloads/details.aspx?FamilyID 
=60deac2b-975b-41e6-9fa0c2fd6aa6bc89& 
displaylang=en. Sie war bei Redaktions- 
schluss aber noch auf dem Stand „No- 
vember 2007“. 
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Shell-Programmierung 


In Aktion: der Skriptdebugger in der 
PowerShellPlus 


Bei mehrstufigen Befehlen fragt 
PowerShellPlus, ob sie denn den ersten 
Teil des Befehls ausführen darf, um die 
korrekten Vorschläge anzeigen zu kön- 
nen. Dies sollte der Nutzer nur bei idem- 
potenten Befehlen bejahen. In einer 
Whitelist kann der Systemverwalter Be- 
fehle aufnehmen, die man zu Analyse- 
zwecken gefahrlos ausführen kann. In 
die Blacklist hingegen gehören Befehle, 
die niemals zu diesem Zweck eingesetzt 
werden dürfen (zum Beispiel Remove- 
Item). Leider zeigt PowerShellPlus in 
manchen Situationen trotz Nachfrage 
entweder keine Optionen oder nicht die 
korrekte Liste der Möglichkeiten an. 
Helfen kann hier die Aufteilung des Be- 
fehls auf mehrere Zeilen durch Verwen- 
dung von Variablen. 

Das seitliche Fenster „Variables“ 
zeigt den Inhalt aller aktuell verfügbaren 
PowerShell-Variablen an. Dazu gehören 
neben den selbsterstellten Variablen die 
eingebauten wie $_, $_args, $home und 
$error. Das unter diesem Fenster liegen- 
de „Properties“-Fenster zeigt Details zu 
einer ausgewählten Variable an. Wenn 
die Variable ein komplexes Objekt ist, 
sieht man die Mitglieder. Wenn die Va- 
riable eine Objektmenge enthält, kann 
man zwischen den einzelnen Elemen- 
ten auswählen und deren Mitglieder be- 
trachten; das ist aber noch wenig intui- 
tiv zu bedienen. 

Die verschiedenen Teilfenster kann 
der Anwender wie in Visual Studio 


PowerShell Workshop 


Zum Thema Windows PowerShell veranstaltet 
iX mehrere dreitägige Workshops. Den ersten 
am 28. April in Essen. Weitere Hinweise unter 
www.ix-konferenz.de. 
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verschieben und andocken. So auch das 
optional einblendbare „Command His- 
tory“, das die Liste der letzten Befehle 
zeigt. Alle Befehle kann man in einer 
Textdatei protokollieren lassen oder in 
die Zwischenablage legen. 

Ein weiteres Standbein der Power- 
ShellPlus ist der im optischen Stil von 
Office 2007 gehaltene Editor für Skript- 
dateien. Das sind einfache Textdateien 
mit der Dateikennung .ps]. Grundsätz- 
lich könnte jeder Texteditor zum Einsatz 
kommen, nur erwarten professionelle 
Benutzer heutzutage sprachspezifische 
Unterstützung und farbliche Syntaxher- 
vorhebung der Sprachschlüsselwörter. 


Mit Skripteditor und 
Debugger 


Neben Farbhervorhebung bei der Einga- 
be bietet der Skripteditor den gleichen 
Komfort wie die dazugehörige Konsole. 
Zudem können Skripte automatisch ge- 
mäß der Blockebenen eingerückt wer- 
den. Aus dem Visual Studio hat man die 
Code-Regionen übernommen, mit de- 
nen man Blöcke zusammenklappen 
kann; das dient der Übersichtlichkeit bei 
umfangreicheren Skripten. 

Der Hersteller liefert den Editor mit 
zahlreichen vorgefertigten Code-Frag- 
menten („Code Snippets“), die der Nut- 
zer in eigene Skripte einfügen kann. 
Auch das Erstellen eigener Fragmente 
ist möglich. Den Editor kann man zu- 
sätzlich für C#-, VB.Net-, HTML- und 
XML-Dateien verwenden - einschließ- 
lich IntelliSense. Für XML-Dateien 
kann man eine Schemadatei angeben. 
Direkt aus dem Editor heraus kann der 
Administrator sein Skript starten, das 
dann im Kontext der Plus-Konsole läuft. 

Ein Highlight im Editor ist der De- 
bugger, der ein Skript an frei definier- 
baren Punkten anhalten und dann Be- 
fehl für Befehl durchlaufen kann (s. 
Abbildung). Wenn das Skript im Zu- 
stand „Pause“ ist, lässt sich der Zustand 
der im Skript verwendeten Variablen 
im Editor oder „Variables“-Fenster der 
Konsole betrachten. Alternativ kann 
man interaktiv an der Konsole in das 
Skript eingreifen. 

Der Debugging-Prozess hat im Edi- 
tor nicht nur seine Funktion zur Fehler- 
suche, sondern darüber hinaus für die 
IntelliSense. Da ein Commandlet nicht 
deklariert, welche Objekte es in die 
Pipeline gibt, und die Ausgabe eines 
Commandlets kontextabhängig sein 
kann, weiß der Editor nicht, welche 
Möglichkeiten zur Verfügung stehen, 


solange er das Skript nicht bis zu der 
besagten Stelle hat laufen können. 


Fazit 


Verglichen mit der rudimentären Kon- 
sole, die Microsoft ausliefert, ist Pow- 
erShellPlus ein Quantensprung für die 
alltägliche Arbeit. Die Vorschläge bei 
der Eingabe funktionieren zwar noch 
nicht in allen Konstellationen, erleich- 
tern aber in vielen Standardsituationen 
die Erstellung von Befehlsfolgen und 
Skripten — gerade dann, wenn man in 
Ermangelung von Commandlets auf 
die .Net- oder WMI-Klassenbibliothek 
zurückgreifen muss. 

Viel zu kurz ist leider bislang die 
mitgelieferte Hilfe. Einige Funktionen 
(z. B. die Schaltflächen im Properties- 
Fenster) sind dort gar nicht beschrieben 
und da es keine Tooltips gibt, kann der 
Anwender nur ausprobieren, was pas- 
siert. Dennoch gehört die PowerShell- 
Plus schon jetzt auf den Rechner eines 
jeden Administrators. (WM) 


DR. HOLGER SCHWICHTENBERG 


unterstützt mit seiner Firma IT-Visions.de 
Unternehmen beim Einsatz von .Net 
und ist Autor zahlreicher IT-Fachbücher. 
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Produkt: PowerShellPlus 1.0.2 
IDE für Microsofts PowerShell 


Hersteller: Shell Tools LLC 
Entwickler: Dr. Tobias Weltner 
Bezugsquelle: www.powershell.de 


Preis: pro User 94 Euro (kostenfrei für den 
nichtkommerziellen Einsatz] 
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Firstview: Komplexe Mailbeziehungen 


sichtbar machen 


Der große Überblick 


Sebastian Krause 


Die neue Version der E-Mail-Analysesoftware Ontrack 
Firstview soll Anwälte und Ermittler im Rahmen von 
unternehmensinternen Ermittlungen sowie Zivil- und 
Strafprozessen bei der Untersuchung umfangreicher E-Mail- 


Kommunikation unterstützen. 


inweise auf Fehlverhalten von 
Fi Mitarbeitern erhält man in vielen 

Fällen aus der Analyse des Infor- 
mationsflusses der elektronischen Kom- 
munikation, im Wesentlichen E-Mail. 
Antworten auf die Fragen, wer mit wem 
wann wie oft über welche Themen kom- 
muniziert hat, lassen Rückschlüsse auf 
potenziell beweiskräftige Kommunika- 
tionsbeziehungen zu. 

Entsprechende Analysewerkzeuge 
dürfen allerdings nur gemäß den recht- 
lichen Rahmenbedingungen eingesetzt 
werden. So dürfen Arbeitgeber sie nur 
benutzen, wenn ein hinreichender Ver- 
dacht auf ein Vergehen besteht, der Be- 
triebsrat eingebunden ist und die Über- 
wachung nur vorübergehend erfolgt. 
Strafverfolgungsbehörden müssen in der 
Regel eine richterliche Anordnung zur 
Beschlagnahme oder Durchsuchung vor- 
weisen. Problematisch in beiden Fällen 
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ist es, wenn private E-Mails betroffen 
sind, dann sind die gesetzlichen Hürden 
für den Einsatz einer solchen Software 
am höchsten. 

Die gerade in Version 2.0 erschiene- 
ne Analysesoftware 
Firstview des Daten- 
rettungs- und Foren- 


sik-Dienstleisters Kroll Ontrack unter- 
stützt neben der Messaging-Plattform 
Microsoft Exchange nun auch Lotus 
Notes. Es lassen sich sowohl Exchange- 
Datenbanken (.edb) als auch persönli- 
che Postfachspeicher (.pst) einbinden. 
Wenn man diese Quellen als Fall in die 
Analysesoftware importiert, listet das 
Programm alle enthaltenen Nachrichten 
in Tabellenform in einem Arbeitsbe- 
reich zur weiteren Bearbeitung auf. 

Dem Ermittler stehen zwei wesent- 
liche Methoden zur Verfügung, um die 
Spreu vom Weizen zu trennen. Zum ei- 
nen kann er die Suchfunktion verwen- 
den, um gezielt klassische E-Mail-Eigen- 
schaften wie Empfänger, Absender et 
cetera zu recherchieren. Eine Suche nach 
Zeichenketten in E-Mail-Headern ist 
nicht vorgesehen. Die Ergebnisse kann 
man innerhalb der Suchfunktion betrach- 
ten oder in einen Arbeitsbereich expor- 
tieren. Dadurch lassen sie sich insbeson- 
dere für die Reporterstellung geeignet 
gruppieren. Eine Drag & Drop-Funktion 
würde den Bedienkomfort deutlich er- 
höhen. Die neuen Analysefunktionen, 
die unter anderem eine thematische Su- 
che nach inhaltlich ähnlichen E-Mails 
erlauben sollen, ließen sich in der zur 
Verfügung gestellten Testsoftware nicht 
initialisieren und konnten somit nicht 
getestet werden. Der Hersteller konnte 
keine Hilfestellung leisten. 


Nur Relevantes 
sichtbar machen 


Die zweite Methode besteht darin, die 
im jeweils aktuellen Arbeitsbereich ent- 
haltenen Nachrichten nach Kommunika- 
tionsbeziehungen, zeitlicher Verteilung 
und Betreff zu untersuchen. Dabei ist 
besonders hilfreich, dass die Darstellun- 
gen mit den zuvor erwähnten Tabellen 
in Beziehung stehen. Klickt der Ermitt- 


Firstview kann 
darstellen, wie viele 


Mails des aktuellen 
Arbeitsbereichs 

zu den jeweiligen 
Zeitpunkten 

(Skala einstellbar 
nach Stunden, 
Tage, Wochen etc.) 
übertragen wurden 


ef R T f 
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(Abb. 1). 
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ler beispielsweise auf eine Verbindung 
zwischen zwei Kommunikationspart- 
nern, zeigt Firstview in der Tabelle auto- 
matisch nur noch alle diesen Nachrich- 
tenweg betreffenden Nachrichten an. 
Hält er den Mauszeiger über ein Objekt 
in den Diagrammen, werden statistische 
Informationen eingeblendet. Damit der 
Benutzer sich auf die ermittlungsrele- 
vanten Kommunikationsbeziehungen 
konzentrieren kann, kann er einzelne 
Objekte ausblenden oder gänzlich aus 
dem Arbeitsbereich entfernen. 


Die Zeit bringt es 
an den Tag 


Untersuchungen auf Auffälligkeiten im 
zeitlichen Verlauf der E-Mail-Kommu- 
nikation, beispielsweise mit einem be- 
stimmten Betreff, kann der Ermittler 
anschaulich über die Darstellung in 
Zeitlinien durchführen. In der weiteren 
Behandlung von Auffälligkeiten fehlt es 
der Software jedoch an Möglichkeiten, 
diese zu markieren und ihre Relevanz 
zu dokumentieren. Der Ermittler kann 
lediglich auffällige Nachrichten in aus- 


sagekräftige Arbeitsbereiche gruppie- 
ren, eine Bookmark-Funktion ist nicht 
vorhanden. 

Firstview ermöglicht den Export von 
persönlichen Postfächern aus den einge- 
bundenen Exchange-Datenbanken. Ein- 
zelne Nachrichten kann man nicht expor- 
tieren. Das wäre jedoch wünschenswert, 
da der Ermittler mit der Analysesoft- 
ware nicht auf die Header-Informatio- 
nen von E-Mails zugreifen kann und 
gegebenenfalls weitere Werkzeuge hin- 
zuziehen muss. Es bleibt der Umweg 
über die persönlichen Postfächer. 

Im Wesentlichen beschränken sich 
die Berichtsfunktionen auf den jewei- 
ligen Fall beziehungsweise den Ar- 
beitsbereich zusammenfassende, sta- 
tistische Reports, deren ansprechend 
und übersichtlich dargestellte Inhalte 
nur in geringem Maße anpassbar sind. 
Auch hier fehlt die Integration von 
Bookmarks. 

Die übersichtliche und verständliche 
Darstellung komplexer Kommunika- 
tionsbeziehungen (siehe Aufmacher) 
ist außerdem für die Präsentation der 
Untersuchungsergebnisse insbesondere 
an fachfremde Personen vorteilhaft. (ur) 


©® übersichtliche Darstellung komplexer 
Kommunikationen 


© Verknüpfung der Analysefunktionen 
©® ausführliche Reports 


© keine Erstellung von Bookmarks 


© keine Darstellung von Header- 
Inhalten 


© Export einzelner E-Mails nicht möglich 


Kroll Ontrack 

Website: www.krollontrack.de/ontrackfirstview 
Produkt: Ontrack Firstview 

Preis: 6100 € netto 


SEBASTIAN KRAUSE 


ist Security Consultant bei der Berliner 
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Webdesign 


Webentwicklungsumgebung Aptana Studio 1.1 


Studiosus 


Bernhard Steppan 


Eclipse verbindet man meistens 


mit Java-Entwicklungsumgebungen. 


Nicht immer zu Recht, 
wie einer der derzeit 
leistungsstärksten 
Web-Editoren zeigt. 


nhängern des als Java-IDE be- 
A: Eclipse bietet Aptana 

jetzt ein Entwicklungspaket für 
diese IDE an. Aptana Studio ist in ei- 
ner kostenfreien Community und einer 
Professional Edition verfügbar. Beide 
Versionen basieren auf Eclipse 3.2.2. 
Entwickler können sie entweder in 
Form von Plug-ins für eine bestehende 
Eclipse-Installation oder als Komplett- 
version mit einem vorkonfiguriertem 
minimalen Eclipse installieren. Sie ha- 
ben daher die Wahl, ob sie eine schon 
konfigurierte IDE ausbauen wollen oder 
eine spezialisierte Webentwicklungs- 
umgebung benötigen. 

Der große Vorteil einer Entwick- 
lungsumgebung, die auf Eclipse basiert, 
zeigt sich schon bei den ersten Schritten 
mit der neuen Umgebung. Trotz der 
Vielzahl an neuen Fenstern und Funk- 
tionen findet man sich als mit Eclipse 
erfahrener Entwickler sofort zurecht und 
benötigt vergleichsweise wenig Einar- 
beitungszeit. Vermisst man das eine 
oder andere Feature, lässt es sich mit 
dem Update-Manager in Sekunden 
nachinstallieren. Alle wichtigen Update- 
Sites für eine PHP-Umgebung, Rad- 
Rails, Unterstützung für Adobes AIR 
sowie für iPhone und iPod touch, Pro- 
fessional Studio, Versionskontrollsys- 
teme wie Perforce und Subclipse 
(Subversion) sind vorkonfiguriert. 

Wenn man von einer solchen Ent- 
wicklungsumgebung spricht, stellt sich 
immer die Frage, wie viele Plug-ins aus 
den Eclipse-Frameworks stammen und 
wie viele der Hersteller neu entwickelt 
hat. Wer der Professional Version von 
Aptana Studio unter die Haube sieht, 
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Be 


ist angenehm überrascht, dass Knapp 
40 Prozent der installierten Plug-ins 
vom Hersteller selbst stammen. Ap- 
tana Studio ist also eine eigenständige 
Neuentwicklung auf Eclipse-Basis und 
nicht einfach nur eine schöne Zu- 
sammenstellung vieler Open-Source- 
Plug-ins. 


Beliebige Kombinationen 
von Frames 


Wie bei Eclipse gewohnt, gliedert sich 
die Arbeitsoberfläche der Webent- 
wicklungsumgebung in einen zentralen 
Editorbereich, der von mehreren Sich- 
ten eingerahmt ist und nach Belieben 
verändert werden kann. Vorkonfigu- 
riert sind zwar nur zwei Perspektiven, 
sie lassen sich aber beliebig klonen 
und danach nach eigenen Wünschen 
umkonfigurieren und speichern. Auf 
diese Weise kann der Entwickler schnell 
mehrere maßgeschneiderte Arbeitsum- 
gebungen erzeugen, zwischen denen 
er per Mausklick umschalten kann, 
beispielsweise eine spezielle Umge- 
bung für die Teamarbeit oder eine an- 
dere für die Fehlersuche. 

Der Quellcode-Editor bietet für Java- 
script, HTML, CSS, PHP und XML 
Standard-Features wie Syntaxhervorhe- 
bung, Zeilennummerierung, Codefaltung 
und eine umfangreiche Programmierhil- 
fe. Ist eine HTML- oder PHP-Datei in 
Bearbeitung, besitzt das Editorfenster 
im oberen Bereich drei Register. Sie 
erlauben es, zwischen HTML-, Java- 


script- und CSS-Funktionen zu sprin- 
gen. In den Projekteinstellungen 
kann der Entwickler unter- 
schiedliche Konfigurationen für 
die Formatierung von Java- 
script-, HTML-, CSS- und 
XML-Dateien wählen. 
Eng gekoppelt mit dem 
Codeeditor ist die Browser- 
Vorschau. Sie ist für 
die üblichen Browser, 
die unter dem Betriebs- 
system zur Verfügung ste- 
hen, vorkonfiguriert. Unter 
Windows sind das der 
Internet Explorer und 
Firefox, beim Mac 
OS X Safari und Fire- 
fox. Weitere Browser lassen 
sich manuell konfigurieren. Au- 
ßerdem steht noch eine iPhone-Vor- 
schau zur Verfügung. Sie gestattet es, 
eine Webseite so anzuzeigen, wie sie 
das iPhone darstellen würde. Per 
Mausklick wechselt man von der Ver- 
tikal- in die Horizontaldarstellung. In 
den Grundeinstellungen der Entwick- 
lungsumgebungen hat man bei der 
Option „iPhone Plugin“ die Auswahl 
zwischen dem Safari und dem Fire- 
fox-Browser. Letztere Option ist na- 
türlich sinnlos und verursacht prompt 
einen Fehler, da das iPhone bezie- 
hungsweise der iPod touch nur über 
eine angepasste Version von Safari 
und nicht über den Firefox verfügen. 
Freunde komfortabler Webdesigner 
wie Dreamweaver oder Expression 
Web dürften einen WYSIWYG-Editor 
vermissen. Sein Fehlen hängt vermut- 
lich damit zusammen, dass die Ziel- 
gruppe des Werkzeugs in erster Linie 
Webprofis sind, die der Codegenerie- 
rung dieser Werkzeuge ohnehin nicht 
trauen und ihren Code per Hand opti- 
mieren. Dass man dennoch nicht auf 
ein Mindestmaß an Komfort verzichten 
muss, dafür sorgen einige Codevorla- 
gen (Snippets). Hier sollte man jedoch 
nicht allzu viel erwarten. Das Snippet 
für eine HTML-Tabelle etwa ersetzt 
keinen komfortablen visuellen Tabellen- 
editor. Und so sieht es auch mit Image 
Maps aus, die man ebenfalls per Hand 
gestalten darf. 


Integrierte 
iPone-Entwicklung 


Der Test einer Site beziehungsweise ei- 
ner einzelnen Seite funktioniert ähnlich 
wie bei einer Java- oder C++-Entwick- 
lungsumgebung. Mit „Start“ erscheint 
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Webdesign 


die aktive Seite im voreingestellten 
Browser, den Aptana Studio automa- 
tisch startet, sofern er nicht schon aktiv 
ist. Mehrere Ausgangskonfigurationen 
für verschiedene Browser oder andere 
Einstellungen lassen sich anlegen. Der 
Entwickler kann iPhone- und iPod- 
Touch-Sites dank eines iPhone Appli- 
cation Servers direkt auf dem Gerät 
ausführen. Jede Änderung im Quell- 
text führt umgehend zu einer Aktualisie- 
rung der Seite auf dem Endgerät. 

Für die Bearbeitung von Javascript- 
Programmen und Ajax-Sites steht ein 
leistungsfähiger Javascript-Debugger zur 
Verfügung, den eine Debug-Perspektive 
steuert. Die unter ‚Start‘ definierten 
Konfigurationen werden übernommen. 
Der Debugger bietet ähnlichen Kom- 
fort wie eine Java-Entwicklungsumge- 
bung. Das heißt, Breakpoints lassen 
sich setzen, Variablen überwachen so- 
wie ändern. Damit das zum Beispiel 
mit Firefox Klappt, installiert Aptana so- 
wohl Firebug als auch ein eigenes De- 
bugger Add-on für den Browser. Dies 
Modul lässt sich direkt im Browser 
konfigurieren. Der Javascript-Debugger 
für den Internet Explorer ist nur in der 
Professional Edition vorhanden. 

Das Site-Management funktioniert 
ähnlich dem Projektmanagement der Ja- 
va-IDE von Eclipse. Alle Projekte er- 
scheinen in einem Projekt-Explorer, ei- 
ner Sicht namens „Project“. Hier kann 
der Designer Projekte anlegen, löschen, 
im- und exportieren sowie neue Dateien 
anlegen. „Working Sets‘ können eben- 
falls gebildet werden. Unter ihnen las- 
sen sich bei einer Eclipse-IDE Subpro- 
jekte definieren. Das ist beispielsweise 
praktisch, wenn man in einem großen 
Projekt nur an einem bestimmten Ab- 
schnitt wie einem Einkaufskorb arbeitet. 

Hat man ein „Working Set“ definiert, 
das exakt die Dateien umfasst, die zur 
Teilaufgabe gehören, kann man zwi- 
schen dieser Sicht und der kompletten 
Projektsicht auf Knopfdruck wechseln. 
Man kann verschiedenen Working Sets 
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Die integrierten 
Funktionen zur 
iPhone-Entwicklung 
erlauben eine 
genaue Vorschau 
der Seite für das 
iPhone und das 
direkte Ausführen 
des Codes auf dem 
Mobiltelefon. 


ren 


anlegen, die helfen, die Übersicht bei 
größeren Projekten nicht zu verlieren 
und nur das zu sehen, was man momen- 
tan tatsächlich benötigt. Das Site-Ma- 
nagement ist leider nicht so leistungsfä- 
hig wie das Projektmanagement in der 
Java-IDE von Eclipse. So sind beispiels- 
weise die Filter für diese Sicht eher 
dürftig ausgefallen. Geschlossene Pro- 
jekte oder für Aptana nicht editierbare 
Dateien lassen sich daher nur über Wor- 
king Sets ausblenden. 


Refactoring nicht 
automatisiert 


Auffällig ist, dass es keine Refactoring- 
Funktionen gibt, mit denen sich Projekte 
unter Wahrung der Konsistenz umstruk- 
turieren lassen. Dass diese Funktionen 
sinnvoll wären, merkt man beispiels- 
weise, wenn man eine referenzierte 
CSS-Datei innerhalb eines Projekts um- 
benennt. Aptana Studio zieht die Umbe- 
nennung in den HTML-Dateien, die die- 
se Datei verwenden, nicht automatisch 
nach. Die Sicht „File References“ liefert 
nicht unbedingt zuverlässige Ergebnisse, 
wenn es um die Vernetzung von Dateien 
geht. Aus diesem Grund ist es nicht wei- 
ter verwunderlich, dass es keine Baum- 
ansicht einer Site gibt, wie sie beispiels- 
weise Go Live so hervorragend liefert. 
Wer seine fertige Site auf einen Ser- 
ver oder ein anderes Laufwerk übertra- 


Aptana Studio 

© plattformunabhängig 
©& Funktionsumfang 

© Dokumentation 

© Preis 


© Site-Management 


gen und synchronisieren will, bekommt 
wieder erstklassige Unterstützung. Sie 
drückt sich in einer übersichtlichen 
Sicht, einem ebensolchen Konfigura- 
tionsdialog und in den unterstützten 
Standardprotokollen FTP, SFTP, FTPS 
aus (die letzten beiden nur in der Profes- 
sional Edition). Eine Vielzahl von Bei- 
spielen und mitgelieferten Bibliotheken 
(Dojo, Mochikit, Scriptaculous) sowie 
unterstützte Techniken (Ajax, X/HTML, 
Adobes AIR, Ruby, XML) runden ne- 
ben der hervorragenden Onlinedoku- 
mentation den Eindruck einer außerge- 
wöhnlichen Entwicklungsumgebung ab. 


Fazit 


Mit seiner robusten Eclipse-Basis, dem 
modularen Aufbau und der Plattfor- 
munabhängiskeit ist Aptana Studio im 
codezentrierten Bereich der Webent- 
wicklung eine der besten Umgebun- 
gen. Selbst Dreamweaver und Expres- 
sion Web können nicht überall Paroli 
bieten. Um mit den Marktführern in al- 
len Bereichen gleichzuziehen, fehlen 
Aptana Studio allerdings noch einige 
Funktionen. Das sind nicht nur die er- 
wähnten visuelle Editoren für Image 
Maps oder Tabellen, sondern vor allem 
ein wesentlich umfangreicheres Site- 
Management. (hb) 


BERNHARD STEPPAN 


arbeitet als Softwareentwickler 
und freier Autor in Bad Homburg. 


Lieferumfang und Preise 


Produktname: Aptana Studio 
Version: 1.1 

Homepage: www.apatana.com 
Installationsmedium: Download 
Lizenz: Einzellizenz 


Speicherbedarf: circa 512 MByte RAM, 
200 MByte HD 


Hardware-Anforderungen: PC mit mindestens 
700 MHz Pentium 4, Mac G5 


Betriebssystem: Windows, Mac OS X ab 10.4, 
Linux mit GTK 


Java-Laufzeitumgebung: ab 1.5 


Eclipse: 3.2.x (bei der Vollinstallation im 
Lieferumfang) 


Dokumentation: Onlinehilfe, Videos, 
Handbücher 


Preis: kostenfrei (Community Edition), 99 US-$ 
(Professional Edition) 


Anbieter: www.aptana.de 


X 
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Netzsicherheit 


Verschlüsselter Datenverkehr 
mit Safenets Ethernet Encryptor 


Fire on the Wire 


Michael Hamm 


Ethernet-Encryptoren von Safenet verschlüsseln den 
Netzwerkverkehr auf Layer 2 und schlagen damit hinsichtlich 
der Übertragungskapazität in manchen Anwendungsbereichen 


das langsamere IPSec. 


oo 

ffentliche, stadtumspannende 
Ö Metropolitan Area Networks 

(MAN) bieten eine attraktive 
und kostengünstige Alternative zur 
unternehmensweiten Vernetzung. Zu 
beobachten ist, dass bei diesen Netz- 
werken mehr und mehr die bisher ein- 
gesetzten Wide-Area-Network (WAN)- 
Techniken durch das billigere und 
robustere Ethernet verdrängt werden. 

Den Schutz der Daten realisiert man 
heute üblicherweise durch VPNs, ba- 
sierend auf IPSec-Gateways. Bei dieser 
Technik kämpfen Administratoren mit 
umfangreichen Konfigurationsarbeiten 
und einem Verlust von Bandbreite durch 
Overhead bei den IP-Paketen. Hier will 
Safenet mit seinen auf Netzwerk- 
Layer 2 arbeitenden Geräten „Ethernet 
Encryptor“ (SEE) punkten. 

Beim Einsatz ist unbedingt darauf zu 
achten, dass ein SEE-Paar nur in einem 
nicht gerouteten Netzwerk miteinander 
kommunizieren kann. Modifikationen 
am Datenverkehr wie das Ändern der 
Reihenfolge der Frames oder das Rou- 
ten der Daten mit einhergehendem Än- 
dern der MAC-Adressen werden nicht 
unterstützt. 
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Man integriert daher die Geräte via 
Plug & Play außerhalb des äußeren 
Routers aufseiten des MAN-Providers 
transparent in ein bestehendes Netz- 
werk (Abb. 1). Damit dies reibungslos 
verläuft, ist eine entsprechende Vor- 
konfiguration erforderlich. 


Verschiedene 
Anschlüsse möglich 


Ein SEE verfügt an der Rückseite über 
zwei Ethernet-Schnittstellen, wahlweise 
10, 100 oder 1000 MBit. Dem Autor 
standen leider nur zwei 100-MBit-Ge- 
räte zum Testen zur Verfügung, die 
schnelleren Geräte konnte der Hersteller 
zu diesem Zeitpunkt nicht liefern. 

Deren Netzwerkkarten sind mit einer 
SFP-Schnittstelle (Small Form-Factor 
Pluggable) ausgestattet. So kann wahl- 
weise ein RJ-45-Stecker, ein optisches 
Single- oder ein optisches Multi-Mode- 
Modul die Verbindung herstellen. 

Den mit „LOCAL“ bezeichneten 
Ethernet-Anschluss verbindet man mit 
der vertrauenswürdigen Seite des 
Netzwerkes, den mit „NETWORK“ 


gekennzeichneten mit dem öffent- 
lichen MAN. Grundsätzlich ist sowohl 
ein- als auch ausgehender Netzwerk- 
verkehr am lokalen Interface unver- 
schlüsselt. Ein- und ausgehender Ver- 
kehr am externen Interface ist je nach 
Policy unverschlüsselt oder verschlüs- 
selt. Zur Verschlüsselung kommt der 
AES-Algorithmus mit 256 Bit zum 
Einsatz. Er verschlüsselt die gesamten 
Nutzdaten eines Ethernet-Frames. Er- 
freulicherweise ändert sich die Frame- 
Größe dabei nicht, sodass kein Over- 
head entsteht. 

SEES arbeiten immer paarweise zu- 
sammen. Jedes Paar benutzt sein eige- 
nes geheimes Schlüsselpaar. Damit 
ein Ethernet Encryptor weiß, welcher 
Schlüssel zu benutzen ist, labelt er 
die MAC-Adressen. Bei eingehenden 
Frames am lokalen Port markiert er die 
Ziel-MAC-Adresse des Frames als 
Remote-MAC-Adresse und bei einge- 
henden Frames am externen Port die 
Source-MAC-Adresse des Frames als 
Remote-MAC-Adresse. 

Zuvor ist mittels Zertifikaten eine 
Vertrauensbeziehung zwischen den En- 
cryptor-Geräten herzustellen — was eine 
Teilaufgabe des Safenet Security Ma- 
nagement Center (SMC) ist. 


Darstellung 
komplexer Landschaften 


Beim Security Management Center 
handelt es sich um eine Software-Suite 
zur Remote-Verwaltung von sicher- 
heitsrelevanten Netzwerkkomponenten 
wie dem Ethernet Encryptor. Sein 
Hauptfenster besteht aus einer visuel- 
len Darstellung der verwalteten Kom- 
ponenten (Map) (Abb. 2). Maps lassen 
sich verschachteln, wodurch auch kom- 
plexe Topologien übersichtlich darge- 
stellt werden können. Jedes Objekt hat 
seine eigene Submap mit den zugehö- 
rigen Funktionen (Abb. 3). 

Ein wichtiger Bestandteil der Soft- 
ware ist eine Certificate Authority 
(CA). Benötigte Dienste wie LDAP- 
Server und MySQL-Datenbank liefert 
sie gleich mit. 

SMC empfiehlt der Hersteller für 
Solaris oder Windows 2000/2003 Ser- 
ver. Es besteht aus dem eigentlichen 
Management-Center und der Manage- 
ment-Konsole, dem grafischen Benut- 
zer-Interface. Die beiden Komponenten 
lassen sich auf demselben System in- 
stallieren (Stand-alone), die Manage- 
ment-Konsole überdies auf bis zu fünf 
zusätzlichen Rechnern. 
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Netzsicherheit 


Weitere Installationsalternativen sind 
ein Hot-Standby-Server-Szenario, bei 
dem die Datenbanken regelmäßig auf 
einen zweiten Server repliziert werden 
(DRF Data Replication with Failover 
Mode), sowie das Multi-Manager-Sze- 
nario, bei dem mehrere SMC-Server in 
verschiedenen Standorten installiert 
sind. Die Datenbanken muss der Sys- 
temverantwortliche in diesem Fall aller- 
dings manuell synchronisieren. 

SMEC unterstützt eine komplexe Rech- 
teverwaltung (OrBAC — Organization 
Based Access Control) für Administra- 
toren. Auf oberster Ebene kann er Orga- 
nisationen definieren. Neu angelegte Be- 
nutzer-Accounts sind immer einer dieser 
Organisationen zuzuweisen. 

Neben der Aufteilung nach Organisa- 
tionen unterstützt das System außerdem 
ein Rollenkonzept für Anwender. Neben 
den bestehenden Rollen Operator, Tech- 
niker, Manager und Admin — mit jeweils 
vordefinierten Zugriffsrechten — können 
auch eigene Rollen definiert werden. 


Vorbereitungen 
für den Einsatz 


Bei der Vorinstallation kommt das Front 
Panel zum Einsatz (siehe Aufmacher). 
Hier findet sich neben einem Ethernet- 
Anschluss ein serieller Konsolenport, 
ein Tastenblock und ein Flüssigkristall- 
Display für zwei Zeilen ä 20 Buchsta- 
ben. Am seriellen Konsolenport steht 
ein Command Line Interface mit einem 
Login Prompt zur Verfügung. Der 


Regional Office 


100 Mbps SafeEnterprise !M 
Ethernet Encryptor 


1 Gbps SafeEnterprise !M 
Ethernet Encryptor 


10 Mbps SafeEnterprise '* 


Metro Ethernet 


Router 


Branch Office 
Ethernet Encryptor 


Server 


Corporate Office 


Das robuste Ethernet läuft dem Unternehmens-WAN den Rang ab, doch ohne 
Sicherheitsmaßnahmen geht es nicht. Der Ethernet Encryptor wird transparent 
ins Netzwerk integriert und ver- beziehungsweise entschlüsselt den ein- und 
ausgehenden Datenverkehr an der Unternehmensgrenze (Abb. 1). 


Ethernet-Anschluss dient zur Remote- 
Verwaltung via SMC im Standard-Out- 
band-Management-Modus. 


„Plan B” bei 
Ressourcen-Knappheit 


Sollte der Provider aus technischen 
Gründen wie Ressourcenknappheit kein 
separates Management-Interface unter- 
stützen, kann der SEE später auch im 


Getestete Geschwindigkeit 


Von besonderem Interesse in diesem Test 
war die Überprüfung des versprochenen 
Geschwindigkeitsgewinns gegenüber IPSec 
durch die overheadfreie Verschlüsselung 
auf Layer 2. 


Belegen soll das zwar die Studie „Com- 
parative Performance of Layer 2 and IP- 
Sec Encryption on Ethernet Networks“, 
die im Oktober 2006 am Rochester Insti- 
tute of Technology durchgeführt wurde. 
Da jedoch Safenet diese Studie finanziert 
hat, wollte iX sich nicht blind darauf ver- 
lassen. 


Beim iX-Test wurden lediglich zwei PCs 
über zwei SEEs vernetzt. Einer wurde je- 
weils am „LOCAL “-Interface einer SEE an- 
geschlossen, die beiden „NETWORK“- 
Ports der Verschlüsselungsgeräte wurden 
mit einem X-Kabel verbunden. Zum Testen 
der Geschwindigkeit setzte der Autor das 
Tool netio von Kai Uwe Rommel ein 
(www.nwlab.net/art/netio/netio.htm]). 
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In einem ersten Test maß er die Geschwin- 
digkeit ohne Verschlüsselung. Hierzu wurde 
die globale Policy auf „Bypass All“ gesetzt. 
Tatsächlich war der Datendurchsatz über 
TCP/IP höher (92 MBit/s) als bei einem 
handelsüblichen Hub (86 MBit/s), an dem 
ansonsten keine weiteren Geräte angschlos- 
sen waren. 


In einem weiteren Test mit aktivierter Ver- 
schlüsselung konnte in der Tat keine spür- 
bare Reduzierung der Bandbreite festgestellt 
werden. Die Wirespeed-Verschlüsselung 
für die 100-MBit-Variante bestätigte sich 
im Test. Schade nur, dass dieser nicht mit 
1 GBit/s durchgeführt werden konnte. 


Der Vorteil gegenüber IPSec kommt vor 
allen Dingen bei Anwendungen mit vielen, 
aber kleinen Datenpaketen — etwa bei VoIP 
— zum Tragen. Hier kann der IPSec-Over- 
head, der möglicherweise bei einer FTP- 
Übertragung nur bei 3-5 Prozent liegt, auf 
bis zu 40 % steigen. 


Inband-Management-Modus betrieben 
werden, wobei der Management-Daten- 
verkehr zusammen mit dem normalen 
Benutzerverkehr über die Netzwerk- 
schnittstellen an der Rückseite (Back 
Panel) übertragen wird. 

Die nötigen Informationen wie IP- 
Adresse, Netzmaske und Standard- 
Gateway sind beim Netzwerk-Provider 
zu erfragen. Dynamische IP-Adressen 
etwa via DHCP unterstützen die Ether- 
net Encryptors nicht. Die erhaltenen 
IP-Daten gibt der Administrator via 
Tastenblock am Front Panel ein. Des 
Weiteren muss er das korrekte Datum 
sowie die ungefähre Uhrzeit eingeben. 

Im Folgenden ist eine Vertrauens- 
beziehung zwischen SMC und SEE 
mittels eines gültigen Zertifikates her- 
zustellen. Hierzu sind wechselseitig 
Aktionen von einem Administrator an 
der SMC und einem Administrator 
am SEE durchzuführen. War das er- 
folgreich, wird das Zertifikat auf dem 
Encryptor installiert. Von diesem Zeit- 
punkt an kann und sollte der Adminis- 
trator das Gerät vom SMC aus remote 
verwalten. 

Ein SEE unterstützt bis zu 30 Ad- 
ministratoren, denen eine der beiden 
Rollen Administrator oder Operator 
zuzuweisen ist. Im Gegensatz zu Ad- 
ministratoren, die vollen Zugriff auf 
das System haben, kann ein Operator 
die Konfigurationsparameter nur über- 
wachen. Nicht zu verwechseln sind 
SEE- mit SMC-Administratoren. 
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Mit dem Security 


Management Center 


lassen sich Netzwerk- 
komponenten 
verwalten - welche, 
zeigt das Haupt- 
fenster (Abb. 2, 
oben), die hierar- 
chischen Beziehungen 
=| stellen die Submaps 
Bee dar (Abb. 3, links). 


Cooreipsa Asremalic Kanfrechn 


In der entsprechenden SEE-Submap 
des SMC kann man Wartungsarbeiten 
durchführen und den Systemstatus 
überwachen. Hier werden auch Logs 
wie das Audit-Log überprüft, das eine 
Liste der vom Administrator durchge- 
führten Aktivitäten und sicherheitsbe- 
zogener Systemmeldungen enthält. Das 
Event-Log verzeichnet alle Systemmel- 
dungen. Gravierende Meldungen, die 
auf einen Defekt, ein Sicherheitspro- 
blem oder eine tiefgreifende Änderung 
am System hinweisen, finden sich im 
Alarm-Log. 


... und Action! 


Alarme müssen von einem Administra- 
tor bearbeitet, zumindest als registriert 
markiert werden. Solange es unbeant- 
wortete („unacknowledged“) Alarme 
gibt, visualisiert das eine rote LED am 
Front Panel des Encryptors. 


Sind die SEEs korrekt ans Netz- 
werk angeschlossen, sollten sie dank 
der ausgestellten Zertifikate und der 
vertrauenswürdigen CA auf Anhieb 
zusammenarbeiten. SEE kann Layer- 
2-Frames auf drei Arten behandeln: 

— „Discard“: Der Encryptor verwirft 
den Frame. 

— „Bypass“: Er leitet den Frame ohne 
weitere Veränderungen weiter. 

— Encrypt: Der Frame wird verschlüsselt. 
Was im Einzelnen zu tun ist, entschei- 
det sich anhand einer hierarchischen 
Security Policy. Der Administrator 
kann gobale, Layer-2- protokollbezo- 
gene und MAC-Adressen-bezogene 
Regeln definieren. 


Fazit 


Zwar vermitteln die SEEs von der ge- 
samten Konzeption her einen soliden 
und auf Sicherheit bedachten Eindruck - 


vom Systemstart an, über die in einer 
geschützten Umgebung vorzunehmen- 
de Vorkonfiguration bis zur anschlie- 
ßenden Fernverwaltung. 

Aber eine Vereinfachung der Instal- 
lation und Wartung gegenüber integra- 
len IPSec-Lösungen konnte der Autor 
nicht feststellen. Einen klaren Vorteil 
gegenüber IPSec bietet das Gerät in 
puncto Durchsatz. Da hier quasi kein 
Overhead über das Netz transportiert 
wird, sind spürbar schnellere Verbin- 
dungen möglich. Leider stand zum Test 
kein 1-GBit-Gerät zur verfügung. (ur) 


MICHAEL HAMM 


ist Ingenieur Securite am Centre 
de Recherche Public Henri Tudor in 
Luxemburg. 


Daten, Preise, Wertung 


Produkt: Ethernet Encryptor 


Hardware-Appliance zur AES-Verschlüsselung 
auf Layer 2 mit 10 Mbps, 100 Mbps, 1Gbps 


Hersteller: Safenet; www.safenet-inc.com/de 


Preise: ab 12 630 € (inkl. MwSt.), SMC-Soft- 
ware ab 3930 € (inkl. MwSt.) 


& hoher Datendurchsatz 

©® durchgängiges Sicherheitskonzept 

© nur anwendbar in nicht 
gerouteten Netzen 


© proprietäres Verfahren erfordert 
immer zwei Geräte 
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Softwareentwicklung 


Domänenspezifisches Modellieren 


mit Metaeditt 4.5 


Facharbeit 


Eldar Sultanow 


Für Programmierer bedeutet es eine große Freiheit, bei der 
Entwicklung nicht von Hard- und Softwareplattformen 


abhängig zu sein. High-Level- 
Spezifikationen, wie sie 

in der domänenspezifischen 
Modellierung erfolgen, 
gewährleisten das. 
Unterstützung für dieses 
Vorgehen bieten Werk- 
zeuge wie Metaedit, das 
jetzt in der Version 4.5 
vorliegt. 


ithilfe der von der Object Ma- 
Mi: Group spezifizier- 

ten Model Driven Architec- 
ture (MDA) können Softwareentwickler 
plattformunabhängige Modelle als Basis 
für plattformspezifische Code-Gene- 
rierung erstellen. Die domänenspezifi- 
sche Modellierung (DSM) verwendet 
unmittelbar bei der Produktspezifikation 
die Konzepte der Anwendungsdomäne, 
und die Generierung der Anwendungen 
erfolgt auf der Grundlage von High- 
Level-Spezifikationen. Das bewirkt, 
dass die Anforderung an Sprache und 
Generatoren auf lediglich ein Unter- 
nehmen beziehungsweise auf eine An- 
wendungsdomäne beschränkt ist. 
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In der DSM repräsentieren die Ele- 
mente Gegenstände aus der Anwen- 
dungs- und nicht aus der Programmier- 
welt [1]. Die Modellierungssprache 
orientiert sich an den Abstraktionen und 
der Semantik der Domäne, sodass die 
Modellierer direkt mit den Domänen- 
konzepten arbeiten können. Die Regeln 
der Anwendungsdomäne kann der Ent- 
wickler als Constraints in die DSL (Do- 
main Specific Language) einbinden, so- 
dass es im Idealfall nicht möglich ist, 
ungültige oder unerwünschte Entwurfs- 
modelle zu spezifizieren. 

Spezielle Werkzeuge wie Metaedit+ 
der amerikanischen Firma Metacase 
unterstützen den Entwickler bei der 


domänenspezifischen Modellierung. 
Das Tool beinhaltet eine Vielzahl von 
Standardmodellen, darunter das in Ab- 
bildung 1 dargestellte BPMN-Modell 
(Business Process Modeling Notation), 
das den typischen Verlauf von Diskus- 
sionen beschreibt. Zum Lieferumfang 
gehören aber auch spezifische Modelle 
wie das einer auf Nokias Smartphone- 
Betriebssystem S60 zugeschnittenen 
Konferenzregistrierungssoftware. 


Vom Konzept 
bis hin zum Generieren 


Der Metaedit+ Workflow ist durch zwei 
Schritte gekennzeichnet: Fachexperten 
richten die Konzepte und Quelltextge- 
neratoren ein. Auf dieser Grundlage 
gestalten Softwareentwickler die An- 
wendung und generieren den Quell- 
text. Das Werkzeug integriert sich in 
die bestehende Applikationsentwick- 
lungsumgebung: Es liest Konfigura- 
tionsdateien ein, stellt den Bezug zu 
Komponentenbibliotheken her und star- 
tet Simulationen. 

Mithilfe einer Tool-Suite kann der 
Entwickler zu den Konzepten und Ei- 
genschaften der domänenspezifischen 
Sprache passende Regeln und Symbole 
definieren, die er als Metamodell in 
einem Repository speichert. Dadurch 
fließen spätere Änderungen direkt in 
die Modelle und Generatoren ein. Die 
Software stellt eine fertige Modellie- 
rungs- und Code-Generierungs-Umge- 
bung - mit Editoren, Browsern, Mehrbe- 
nutzer-Unterstützung — zur Verfügung. 

Metaedit+ liegt jetzt in der Version 
4.5 SRI vor und läuft auf allen gängigen 
Plattformen — unter anderem Windows, 
Linux, Mac OS X, Solaris und HP-UX. 
Für den Test wurde die Workbench- 
Version auf einem AMD 2000+ mit ei- 
nem Windows Server 2003 installiert. 


Benutzeroberfläche 
wurde runderneuert 


Als Erstes fällt die grafische Benutzer- 
oberfläche für Metamodellierung ins 
Auge, die der Hersteller runderneuert 
hat. Die Graphenerstellung gestaltet 
sich einfacher, da sie nicht mehr wie 
bisher über einen Wizard erfolgt, son- 
dern dialoggesteuert ist. Zusätzliche 
Fenster erscheinen als Tabs innerhalb 
des Graph Tool. 

Mit dem neuen Icon-Editor kann der 
Entwickler typenspezifische Icons ma- 
nuell erstellen und muss nicht mehr auf 
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die vorgegebenen Symbole zurückgrei- 
fen. Alternativ lassen sich zusätzliche 
Symbole in SVG- und Bitmap-Forma- 
ten importieren. 

Den Generator hat der Hersteller 
ebenfalls um einige Funktionen er- 
weitert. So ist jetzt das Iterieren über 
Variablen und Strings möglich: 


do $var, do 'foo bar'%spaces 


Der Programmierer kann das Enco- 
ding für (zu generierende) Dateien 
spezifizieren: 


filename ... encoding ... write/read 


und eine verkürzte Syntax erleichtert 
die einfache Variablenzuweisung und 
Manipulation: 


$abc="foo', $abc++, $-abc 


Das System zur Definition der Code- 
generierung unterstützt in der neuen 
Version Syntax-Highlighting und er- 
laubt die sofortige Validierung von 
Generator-Scripts. Ein Debugger er- 
leichtert die Programmierung eigener 
Generatoren. Über ein Tracing lässt sich 
generierter Quellcode zu den zugehöri- 
gen Modell-Elementen zurückverfolgen. 
Der Im- und Export von Modellen 
und Metamodellen erfolgt jetzt via XML 
und schließt Diagramme, Matritzen and 
Tabellenrepräsentationen ein. 


Zugriff auf 
Backends über SOAP 


Durch die verbesserte SOAP-API 
(Simple Object Access Protocol) für 
Webservices ist die Version 4.5 offener 
als vorher gegenüber anderen Plattfor- 
men wie JEE oder .Net. Ein Zugriff auf 
Metaedit+-Funktionen ist von beinahe 
jeder Programmiersprache (Java, C, 
C++, C#, Visual Basic, Perl et cetera) 
und Plattform (Windows 98, NT, 2000, 
XP, Linux, HP-UX, Solaris et cetera) 
aus möglich. 

Metaedit+ generiert für implemen- 
tierte Funktionen eine WSDL (Web 
Services Description Language) und 
stellt Webservice-Schnittstellen öffent- 
lich zur Verfügung. Die API beinhaltet 
neben Funktionen zum Lesen, Erzeu- 
gen und Aktualisieren von Modellele- 
menten solche für die Steuerung einer 
Anwendung sowie für Scripting- und 
Simulationsaufgaben. 

Modelleigenschaften lassen sich 
durch die Unterstützung von SOA (Ser- 
vice Oriented Architecture) in die Be- 
nutzeroberfläche laden, beispielsweise 
in einen Eigenschaftsdialog. Hierfür 
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Das von Metaedit+ mitgelieferte BPMN-Modell beschreibt den typischen Zyklus 


einer Diskussion (Abb. 1). 


muss der Entwickler einen Webservice 
als Gateway in seine bestehende Umge- 
bung implementieren (etwa in JEE un- 
ter Linux oder in .Net unter Windows), 
der auf die in einer Datenbank abgeleg- 
ten Modelle beziehungsweise deren Ei- 
genschaften zugreift. Bei einem Fehler 
während der Übertragungs- oder in der 
SOAP-Schnittstellendefinition deakti- 
viert Metaedit+ die betroffenen Felder 
in der grafischen Oberfläche. 

Der Diagramm-Editor bietet eine 
Baumansicht für alle Objekte ein- 
schließlich einer Eigenschaftstabelle 
für das selektierte Objekt. Diagramme 
können außer wie bisher im XML-ba- 
sierten Austauschformat GXL (Graph 
Exchange Language) als PNG-Dateien 
(Portable Network Graphics) gespei- 
chert werden. 

Hinsichtlich der Datenintegrität war 
Metacase ebenfalls tätig. Laufen bei- 
spielsweise zwei Metaedit+-Instanzen, 
ist es jetzt ausgeschlossen, dass zwei 
Personen gleichzeitig dieselben Daten 
manipulieren. Die zuerst gestartete In- 
stanz blockiert geöffnete Modelle, so- 
dass sie für Dritte nur lesbar sind. 


Fazit 


Metaedit+ ist ein erprobtes Werkzeug, 
das seit Jahren in einer Vielzahl von 
Anwendungsdomänen zur Automati- 
sierung von Softwareentwicklung zum 
Einsatz kommt. Die in der Version 4.5 
hinzugekommenen Funktionen tragen 
weiter dazu bei, die für die Software- 
entwicklung benötigte Zeit deutlich zu 
verkürzen. (ka) 


ELDAR SULTANOW 


arbeitet als J2EE-Entwickler/ Architekt 
bei der Producto AG in Berlin. 
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[1] Dr. Juha-Pekka Tolvanen, 
Dr. Steven Kelly; 
Domänenspezifische Modellierung; 
Objektspektrum 04/04, S. 30 


©® hohe Integrierbarkeit in bestehende 
IT-Systemlandschaften 


@® breites Spektrum unterstützter 
Betriebssysteme 


©® hohe Modellabstraktion und Spezia- 
lisierbarkeit auf die Fachdomäne 


©® Importmöglichkeit von Graph- 
basierten Daten (GXL, XMI, MOF) 


Metaedit+ 4.5 


Hersteller: Metacase, www.metacase.com 


Softwarevoraussetzungen: Mac OS X, Linux, 
Windows- oder Unix-Plattform 


Hardwarevoraussetzungen: 512 MByte RAM, 
60 MByte Festplattenplatz 


Preise: Workbench: 9500 € 
Modeler: 5500 € 
Introductory License: 150 € 
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Virtualisierung 


ee ee ) 0 ie 


Virtualbox für Linux, Mac OS X, 
Opensolaris und Windows 


Springteufel 


Markus Franz 


Im Schatten des MySQL-Deals hat Sun Microsystems den 
deutschen Spezialisten für Virtualisierung Innotek gekauft. 
Dessen Hauptprodukt Virtualbox scheint also eine 


besondere Rolle zu spielen. 


ministrator heute eine Virtualisie- 

rungslösung, steht man vor einem 
unübersichtlichen Berg von Angebo- 
ten: Es gibt mehr als ein Dutzend Pro- 
dukte aus dem Open-Source-Lager und 
von kommerziellen Anbietern wie Mi- 
crosoft oder Parallels. 

Grundsätzlich unterscheidet man 
zwischen Plattform- und Betriebssys- 
temvirtualisierung: Erstere emuliert ei- 
nen kompletten Rechner und ermöglicht 
es, Betriebssysteme ohne Modifizierung 
laufen zu lassen. Letztere erzeugt meh- 
rere geschützte Benutzerbereiche auf ein 
und demselben Betriebssystem. 

Virtualbox — ein Produkt der jüngst 
von Sun übernommenen Stuttgarter In- 
notek — gehört zur ersten Kategorie. Es 
läuft unter Windows, Linux, Mac OS X 
oder Opensolaris und kann diverse Gast- 


5 ucht man als Entwickler oder Ad- 
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systeme unverändert betreiben. Als ein- 
ziger Vertreter dieser Kategorie für x86- 
Maschinen steht es unter einer offenen 
Lizenz, in diesem Fall unter der Gnu 
General Public License (GPL). Die 
Open-Source-Edition kann daher jeder 
auf beliebige Weise einsetzen. Daneben 
gibt es eine kommerzielle Variante, die 
man nur privat kostenlos nutzen darf. 
Sie bietet zusätzliche USB-Unterstüt- 
zung und eine Remote-Desktop-Steue- 
rung für virtuelle Maschinen. 


Neue Maschine anlegen 


Virtualbox kann man für Windows und 
Linux in einer stabilen Version auf der 
Projektseite herunterladen (siehe Kasten 
„Onlinequellen“). Die angebotenen 
Binaries für Mac OS X und Opensolaris 


sind zurzeit noch im Beta-Status und 
nicht für den produktiven Betrieb ge- 
dacht. Das Installieren geht unter allen 
Betriebssystemen flott von der Hand. 
Unter Linux, Mac OS X und Opensola- 
ris installiert Virtualbox gleich die be- 
nötigten Kernel-Module und -Erweite- 
rungen. Nach einem Neustart läuft 
nicht nur der Daemon, sondern es exis- 
tiert auch eine komfortable Oberfläche 
zur Konfiguration. 

Zunächst ist man erfreut, dass Vir- 
tualbox die Oberfläche auf Deutsch 
anbietet. Der Button „Neu“ startet den 
Assistenten zum Anlegen einer neuen 
virtuellen Maschine. Grundsätzlich 
unterstützt Virtualbox jedes Gastbe- 
triebssystem für die Architektur des 
Host (Auswahl „Unknown“). Allerdings 
laufen einige Gastsysteme besser, sta- 
biler und eventuell auch schneller, 
wenn man sie explizit angibt. Unter So- 
laris etwa funktioniert im generischen 
Modus die Maus nicht richtig. 

Auf der Liste der geladenen Gäste 
finden sich neben Solaris, Windows, 
Linux und den freien BSD-Varianten 
auch Exoten wie DOS, OS/2 Warp und 
Netware. Mac OS X fehlt derzeit noch, 
da es trotz Intel-Plattform spezielle 
Restriktionen von Apple gibt, die sich 
im Wesentlichen auf das TPM-Modul 
beziehen. Es lässt sich selbst dann nicht 
virtualisieren, wenn Virtualbox auf 
Mac OS X läuft. 

Im zweiten Schritt schließt man im 
Assistenten eine (virtuelle) Festplatte an 
die Maschine an: Als VDI-Datei (Vir- 
tual Disk Image) kann sie die vorgege- 
bene Größe sofort belegen oder dyna- 
misch bis zum Maximum mitwachsen. 
Aber Obacht: Die Größe der Datei 
bleibt unabhängig vom Modus nach 
dem Anlegen unverändert - es sollte al- 
so ausreichend Platz vorhanden sein. 
Allerdings kann man später einer Ma- 
schine durchaus weitere VDI-Dateien 
als zusätzliche Festplatten hinzufügen. 


Weitere Optionen 
für Hardware 


Damit man das Gastsystem einrichten 
kann, bedarf es normalerweise noch ei- 
ner Installations-CD oder -DVD. Unter 
„Settings“ erscheint ein Dialog, der um- 
fangreiche weitere Funktionen bietet. 
Dort lässt sich ein im physischen Lauf- 
werk eingelegter Datenträger an den 
Gast weiterreichen oder ein ISO-Image 
direkt einbinden, eine besonders prakti- 
sche Sache für das Testen von Live-CDs 
oder -DVDs. Man konfiguriert einfach 
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eine virtuelle Maschine ohne Festplatte, 
die nur auf den Datenträger zugreift. 

Man kann in den erweiterten Optio- 
nen sogar festlegen, dass Virtualbox 
ATAPI-Kommandos direkt an das Host- 
Laufwerk durchreicht. In den Settings 
darf der Admin weitere virtuelle Fest- 
platten hinzufügen und die Boot-Rei- 
henfolge ändern. Außerdem kann er dort 
die Zwischenablage anpassen. Virtual- 
box unterstützt ACPI und IO-APIC so- 
wie die Virtualisierungserweiterungen 
moderner Prozessoren: Es lässt sich so- 
wohl Intels VT-x als auch AMD-V ak- 
tivieren. Sofern der Prozessor die Er- 
weiterungen enthält, kann Virtualbox sie 
direkt nutzen, was mehr Geschwindig- 
keit, Stabilität und Sicherheit bringt. 

Die Verbindung zum Internet geht für 
ein Gastsystem über das Netzwerk-Inter- 
face: Virtualbox gaukelt dem Gast einen 
Netzwerkadapter der AMD-PCNET- 
Familie vor (genau: AMD 79C973). 
Dessen MAC-Adresse lässt sich eben- 
so beliebig einstellen wie der Status des 
virtuellen Kabels (verbunden/getrennt). 
Das Gastsystem kann die Audioausgabe 
an eine Soundkarte vom Typ AC97 oder 
Soundblaster 16 weitergeben. Zu guter 
Letzt stellt Virtualbox einen USB-Con- 
troller bereit, den man im Einstellungs- 
dialog aktivieren kann. Aktiviert man 
den USB-EHCI-Controller, beherrscht 
Virtualbox sogar das schnelle USB 
2.0. Außerdem gibt es die Option, in 
Virtualbox den Arbeits- und Grafik- 
speicher einzustellen: Je mehr, desto 
besser für den Gast — aber schlechter 
für den Host. 


Server mit 
Remote Desktop 


In der Pressemitteilung zum Kauf von 
Innotek ordnet Sun Virtualbox als Pro- 
dukt für Entwickler und Heimanwender 
ein. Es soll das hauseigene Enterprise- 
Produkt Sun xVM ergänzen. Dabei kann 
sich Virtualbox auf einem kleinen Server 
durchaus lohnen: Mit mehreren virtuel- 
len Maschinen erhöht man die Auslas- 
tung und sichert die Anwendungsebenen 
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Select a settings category from the list on the left side and move the mouse 


over a settings item to get more information. | 


C Help 


Hard: Virtualbox kann die Erweiterungen von Intels und AMDs Prozessoren für 


die Virtualisierung nutzen (Abb. 1). 


gegeneinander ab. Zu den Besonderhei- 
ten zählt, dass Virtualbox für jede vir- 
tuelle Maschine einen RDP-Server lau- 
fen lassen kann: Im Settings-Dialog 
unter „Remote Display“ taucht die Op- 
tion „VRDP-Server“ auf. Man kann dort 
den Port festlegen, auf dem der Server 
Verbindungen entgegennimmt — so las- 
sen sich mehrere virtuelle Maschinen pa- 
rallel über RDP ansteuern. Es empfiehlt 
sich jedoch, die Authentifizierung nicht 
über Virtualbox vorzunehmen. Man 
kann sich stattdessen mit den Benutzer- 
konten des Gastsystems anmelden. 

Für die intensive Nutzung von Vir- 
tualbox als professionelle (Server-)Um- 
gebung bietet sich auch die Funktion 
„Shared Folders“ an: Das sind gemein- 
sam genutzte Ordner, die sowohl der 
Host als auch die Gäste nutzen kön- 
nen. Unter Windows findet man das 
Verzeichnis unter \vboxsvr\ordner. Li- 
nux-Nutzer können den Ordner mit 
dem Befehl mount -t vboxsf <ordner> 
<mountpoint> einbinden. 


Open-Source-Bereich. 


alle gängigen Systeme. 


A-TRACT 


© Virtualbox ist der einzige vollständige Plattform-Virtualisierer aus dem 


© Die kommerzielle Version ist für den privaten Gebrauch kostenlos. 


© Es unterstützt als Host und Gast mit Windows, Linux, Mac OS X und Opensolaris 
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Wer mit dem Gedanken spielt, Vir- 
tualbox auf dem Server einzusetzen, 
dem kommt die Unterstützung für 
VMware gerade recht: Ein Festplatten- 
Image aus VMware lässt sich mit dem 
Programm vditool ins VDI-Format kon- 
vertieren. So kommt man in den Ge- 
nuss einer umfangreichen Auswahl an 
virtuellen Appliances. 


Komfort für den Desktop 


Für Entwickler und Heimanwender sind 
dagegen andere Dinge wichtig: Hier 
zählen vor allem der Komfort und die 
Performance. Virtualbox kann in die- 
sem Bereich mit Windows oder Linux 
als Host punkten: Dank der komforta- 
blen, Ot-basierten grafischen Oberfläche 
kann man auf die Kommandozeile sogar 
verzichten. Auf Mac OS X befindet 
sich Virtualbox erst im dritten Beta- 
Stadium, das am 6. Februar herauskam. 
Bisher war die Auflösung für das Gast- 
system auf maximal 800 x 600 Pixel 
und 256 Farben begrenzt. Die dritte 
Beta kann mehr: 32 Bit pro Pixel und 
Auflösungen bis 1024 x 768 — Virtual- 
box schließt zur Konkurrenz auf, wenn 
auch reichlich spät. 

Im Test lief die Beta 3 (Virtualbox 
1.5.51) auf einem Apple Macbook (In- 
tel Core 2 Duo T7200, 2,0 GHz, 
1 GByte RAM) mit Mac OS X 10.4 
(Tiger). Hier hat die freie Version von 
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Virtualisierung 


(@) Debian 4.0 
[zu IBM 05/2 3 


E31 Novell Netware 
® ®! owered Of 


| Windows 3.1 ai 
| [WE @ Powered oft - 


N Fr 


Exoten: Neben aktuellen Distributionen unterstützt Virtualbox auch Klassiker 
wie 05/2, Novell Netware oder Windows 3.1 - und bietet sich damit als Träger 


für Altlasten an (Abb. 2). 


Innotek mit den kommerziellen Kon- 
kurrenten von Parallels gleichgezogen: 
Es gibt erstmals auch in der Virtualbox 
den Seamless-Modus. Er lässt Anwen- 
dungen auf dem Gast wie lokale Pro- 
gramme erscheinen, die direkt im Dock 
(unter Windows und Linux in der Task- 
leiste) auftauchen. 

Virtualbox reicht den Prozessortyp 
direkt an das Gastsystem durch, sodass 
dieses eventuelle Optimierungen nutzen 
kann. Aktuell profitiert Virtualbox aber 
nicht von Mehrkernprozessoren: Der 
Gast bekommt immer nur einen einzi- 
gen Kern zugewiesen. Mehrere parallele 
Maschinen profitieren hingegen von der 
zusätzlichen Performance. Man sollte 
allerdings ausreichend Arbeitsspeicher 
einplanen: Schließlich laufen zwei voll- 
ständige Betriebssysteme parallel, da 
sollte mindestens 1 GByte Speicher 
vorhanden sein. Möchte man mehr als 
zwei virtuelle Maschinen mit Win- 
dows, Linux oder Mac OS X als Host 
oder Gast, kann Großzügigkeit nicht 
schaden. Im Test kam Windows XP als 
Gast mit 512 MByte Hauptspeicher gut 
zurecht: Das System fährt in 24 Sekun- 
den hoch und ist unter Virtualbox so- 
mit 3 Sekunden schneller als mit Paral- 
lels’ Desktop 3.0 for Mac. 

Mehr Komfort für den Client bieten 
die Guest Additions: Installiert der Ad- 
min die Softwarepakete auf dem Gast, 
verbessert sich das Zusammenspiel mit 
dem Host. Unter Windows 2000 und 
XP sowie Linux-Distributionen klappt 
das ohne Weiteres — mit Windows Vis- 
ta hakelt es, denn der Installer bricht 
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mit einer Fehlermeldung ab. Die Gast- 
erweiterungen lassen sich direkt über 
das Menü in die aktive virtuelle Ma- 
schine installieren. Hat man das Gast- 
system neu gestartet, lässt sich zum 
Beispiel die Bildschirmauflösung wei- 
ter erhöhen. Im Test fiel auf, dass das 
Gastsystem außerdem etwa 2 % weni- 
ger Prozessorlast erzeugt. 


Zur Sonne, zur Freiheit 


Für Opensolaris auf x86-Maschinen 
steht auf der Projekthomepage eine ers- 
te Beta-Version zum Download bereit. 
Die Installation ist denkbar einfach. 
Man benötigt allerdings die zum Be- 
triebssystem passende Version: x86 für 
32-Bit-Hosts, amd64 für 64-Bitter. 
Nach der Installation mit pkgadd muss 
der Nutzer mit dem Kommando 


export LD_LIBRARY_PATH=/opt/VirtualBox: 7 
/opt/VirtualBox/gtgce/lib:$LD_LIBRARY_PATH 


den Suchpfad für die benötigten Biblio- 
theken ergänzen. Anschließend startet 
/opt/VirtualBox/VirtualBox den Virtu- 
alisierer. Standardmäßig speichert Vir- 
tualbox alle virtuellen Maschinen und 
Festplatten-Images im Verzeichnis 
-/.VirtualBox. Sollte der Platz dort 
knapp werden, muss man einzelne 
VDI-Dateien an einen anderen Ort 
verlegen — der Ordner selbst lässt sich 
nicht verschieben. 

In allen anderen Bereichen funktio- 
niert Virtualbox auf Opensolaris wie 
unter Mac OS X: Die auf Opensolaris 


Developer Preview 2 getestete Version 
Beta 1 läuft weitgehend stabil — ledig- 
lich beim Einbinden von ISO-Images 
stürzte das Programm im Test einige 
Male ab. Opensolaris kann auch als Gast 
dienen: Zwar gibt es nur die Option 
„Solaris“, Virtualbox kommt jedoch mit 
der offenen Variante ebenso zurecht. 


Fazit 


Mit Virtualbox ist eine leistungsfähige 
Virtualisierungsplattform in den Besitz 
von Sun übergegangen, in der Katego- 
rie Plattform-Virtualisierer die einzige 
vollständige kostenlose und quelloffene 
Lösung. Man darf gespannt sein, wie 
Sun Virtualbox in seine Produktpalette 
integriert. Spannend bleibt außerdem, 
wie die Entwicklung für Mac OS X 
weitergeht, denn Virtualbox muss sich 
neben VMwares Fusion und Parallels’ 
Desktop for Mac behaupten. (mr) 
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Dateisysteme 


Neuer Anlauf für 


Log-strukturierte Filesysteme 


Rundkurs 


Udo Seidel 


Effizienteres Schreiben und Snapshots als kostenlose 
Zugabe versprechen Log-strukturierte Dateisysteme wie 
die im Februar 2008 freigegebene Version 2 von NILFS. Im 
iX.Labor musste eine Vorversion zeigen, ob sie Wort halten kann. 


erlässlichkeit, Performance, Ska- 
Verse und schnelle Wieder- 

herstellung im Fehlerfall sind die 
Kriterien für ein gutes Dateisystem. Un- 
ter Linux greift der Admin auf ext3fs, 
XFS oder ReiserFS zurück - in geclus- 
terten Umgebungen fällt die Wahl auf 
GFS oder OCFS2. Mit NILFS2 (New 
Implementation of a Log-structured File 
System) existiert seit einiger Zeit ein 
weiterer Kandidat, der den genannten 
Ansprüchen genügen will. 

Log-strukturierte Dateisysteme (LFS) 
gehen zurück auf eine Idee von John 
Ousterhout - auch bekannt als Erfinder 
von Tcl/Tk - und Fred Douglis [1]. Sie 
basiert auf der Annahme, dass moderne 
Rechner über ausreichend Hauptspei- 
cher verfügen, der es erlaubt, Lesezu- 
griffe auf den Datenträger überwiegend 
aus dem Cache zu bedienen. Das eröff- 
net neue Wege, performantes Schrei- 
ben zu realisieren. 

LFS behandeln den Datenträger wie 
ein „append-only log“ (siehe Kasten 
„Schreiben im Vorwärtsgang“). Der 
offensichtliche Gewinn besteht darin, 
dass Schreibzugriffe auf die Festplatte 
nur ein Minimum an Kopfbewegungen 
erfordern. Zudem ergibt sich automa- 
tisch die Möglichkeit, auf ältere Ver- 
sionen der Datenbestände zuzugreifen 
(snapshotting). Da die reale Speicher- 
kapazität begrenzt ist, muss jedoch ein 
Säuberungsprozess (garbage collector) 
nicht mehr benötigten Speicherplatz 
wieder freigeben. 

Die erste Implementierung eines 
LFS verwirklichte die Forschungsgrup- 
pe um Ousterhout 1992 in Sprite, einem 
für Forschungszwecke entwickelten Be- 
triebssystem. In die freien Unix-Vari- 


iX 5/2008 


anten FreeBSD, OpenBSD und Net- 
BSD hielt LFS ebenfalls Einzug. Es 
konnte sich dort aber nicht durchsetzen. 
Mit dem WAFL-Dateisystem (Write 
Anywhere File Layout) von Network 
Appliance existiert ein kommerzielles 
Produkt, das ebenfalls auf der Idee ei- 
nes Log-strukturierten Dateisystems 
basiert. Für Linux gab es bereits meh- 
rere Anläufe. Ein recht aktives Projekt 
ist NILFS beziehungsweise die ver- 
besserte Version NILFS2. 


Datenträger portioniert 


Abbildung 1 zeigt das Layout einer 
NILFS2-Partition. Erwartungsgemäß 
enthält der Superblock die Parameter 
des Dateisystems, beispielsweise die 
Blockgröße und den Mount-Zähler. 
Ähnlich wie die „klassischen“ Dateisys- 
teme verwaltet NILFS2 den Plattenplatz 
nicht als ein großes Paket. Die Unter- 
teilung in sogenannte Segmente (full 
segments) erhöht die Effizienz des Gar- 
bage Collectors. Die Anzahl der Blöcke 
pro Segment hängt von der Größe des 
Datenspeichers ab — das Minimum ist 
16. Schreibzugriffe fasst NILFS2 zu 
logischen Segmenten zusammen, die 
wiederum aus partiellen Segmenten 
bestehen (siehe Abbildung 1). Letztere 
enthalten mindestens zwei Blöcke. 
Für die Übersetzung von Datei- 
Blockadressen und Inode-Nummern in 
Datenträger-Blockadressen (file/inode 
block mapping) verwendet NILFS2 je 
zwei B-Bäume pro partiellem Segment. 
Den Aufbau der Verzeichnisse hat das 
Dateisystem von ext2fs geerbt. Ebenso 
die damit verbundenen Nachteile, etwa 


die Längenbegrenzung für Dateinamen 
und mangelnde Performance bei Opera- 
tionen in großen Verzeichnissen. Später 
wollen die Entwickler Verzeichnisse 
ebenfalls als B-Bäume implementieren. 

Jedes partielle Segment enthält am 
Anfang eine sogenannte Segment Sum- 
mary, die unter anderem Auskunft über 
seine Größe und die Nutzung der ein- 
zelnen Blöcke gibt. Darauf folgt der 
Datenbereich, der sowohl Datenblöcke 
als auch Inodes nebst den zugehörigen 
B-Bäumen enthält. Am Ende befindet 
sich ein Checkpoint-Bereich. 

Während die Segment Summary 
hauptsächlich für den Garbage Collector 
und fsck wichtig ist, enthält der Check- 
point Informationen für Lese- und 
Schreibzugriffe. Insbesondere befindet 
sich dort ein Verweis auf den ersten 
Block — die „Wurzel“ — des Inode-B- 
Baums. Mit dem Schreiben der Infor- 
mation in den Checkpoint-Bereich geht 
das Dateisystem von einem Konsisten- 
ten Zustand in den nächsten über. 


Markante Punkte 


Designbedingt entspricht ein Checkpoint 
bei NILFS2 bereits einem Snapshot - ei- 
nem konsistenten Dateisystemzustand 
zu einem bestimmten Zeitpunkt. Kon- 
sequenterweise lassen sich Check- 
points in Snapshots überführen und 
umgekehrt. Aus administrativer Sicht 
unterscheiden sie sich dadurch, dass 
Snapshots per mount-Befehl zugänglich 
sind und bei der routinemäßigen Gar- 
bage Collection erhalten bleiben. 
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Dateisysteme 


Superblock 


Logisches 
Segment 


Segment- 
verwaltung 


Stückweise: NILFS2 teilt den Datenträger in Segmente ein (Abb. 1). 


Wer mit NILFS2 experimentieren 
will, muss zunächst den Quellcode von 
der Projekt-Homepage (www .nilfs.org) 
herunterladen und übersetzen - fertig 
kompilierte Pakete gibt es nicht. Zum 
Übersetzen benötigt man außerdem den 
Quellcode des installierten Kernels 
(Version 2.6.11 oder neuer). Die Soft- 
ware gliedert sich in zwei Teile: das 
Kernel-Modul nilfs2.ko und die dazu- 
gehörigen Werkzeuge. Zu Letzteren ge- 
hören die Hilfsprogramme mkfs.nilfs2 
und mount.nilfs2 zum Anlegen und 


Schreiben im 
Vorwärtsgang 


Die Besonderheit von Log-strukturierten 
Dateisystemen ist die Art des Schreib- 
vorgangs. Abbildung 2 zeigt ein bei- 
spielhaftes Szenario bei NILFS2: In ei- 
nem Verzeichnis befindet sich zunächst 
die Datei A mit den zwei Blöcken A/ 
und A2 (oben). Sowohl Daten- als auch 
Inode-Blöcke für das Verzeichnis samt 
Inhalt befinden sich im partiellen Seg- 
ment n. In seinem Checkpoint-Bereich 
steht ein Verweis auf den ersten Block 
des Inode-B-Baums und damit indirekt 
auf die Inodes. 


Legt der Nutzer danach eine Datei B an, 
platziert NILFS2 sie in einem zweiten 
partiellen Segment n+/ und aktualisiert 
den Inode-Bereich so, dass er beide Da- 
teien beinhaltet. Anschließend legt es ei- 
nen neuen Checkpoint an (Mitte). 


Ändert sich der Inhalt von A, kopiert das 
Dateisystem die Inode und die betrof- 
fenen Blöcke in ein weiteres partielles 
Segment, führt dort die Anderungen 
durch und erzeugt einen weiteren Check- 
point (unten). Alle älteren Checkpoints, 
die die früheren Versionen enthalten, 
bleiben bestehen, bis der Garbage Col- 
lector sie entfernt. 
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Mounten des Dateisystems, der Gar- 
bage Collector nilfs_cleanerd sowie die 
Tools zur Checkpoint- und Snapshot- 
Verwaltung. Im Test kam die im De- 
zember 2007 erschienene Version 2.0.0- 
testing8 zum Einsatz. 

Nach dem Laden des Kernel-Moduls 
lässt sich die mit mkfs.nilfs2 formatierte 
Partition mit mount —t nilfs2 einhängen. 
Dabei startet automatisch der Garbage 
Collector — es sei denn, der Adminis- 
trator hängt das Dateisystem nur zum 
Lesen ein. Das umount-Kommando be- 
endet nilfs_cleanerd wieder. 

In der Datei /etc/nilfs_cleanerd.conf 
lassen sich die Betriebsparameter des 
Cleaners einstellen. Momentan ist nur 
eine „Säuberungsrichtlinie“ verfügbar: 
das Löschen der Checkpoints in chrono- 
logischer Reihenfolge, beginnend mit 
dem ältesten. Weiterhin kann der Admin 
in der Datei festlegen, wie lange die Seg- 
mente eines Checkpoints unangetastet 
bleiben (protection_period) und wie 
viele Segmente er auf einmal löschen 
soll (nsegments_per_clean). Voreinge- 
stellt sind 3600 Sekunden und 2 Seg- 
mente. Das bedeutet, dass der Speicher- 
platz, den eine gelöschte Datei zuvor 
belegt hat, erst nach etwa einer Stunde 
wieder zur Verfügung steht. Beim Tu- 
ning gilt es, einen Kompromiss zwischen 
der Verfügbarkeit von Dateisystemzu- 
ständen aus der Vergangenheit und dem 
benötigten Speicherplatz zu finden. 

In der gegenwärtigen Implementie- 
rung verwendet NILFS2 pro einge- 
hängtem Dateisystem einen Garbage- 
Collector-Prozess. Ein separates Tunen 
des nilfs_cleanerd ist deshalb nur be- 
dingt möglich. Der Admin muss den 
automatisch gestarteten Prozess beenden 
und manuell unter Angabe der ge- 
wünschten Konfigurationsdatei neu star- 
ten. Ein Wrapper-Skript für das mount- 


Kommando mit geschickt gewählter 
Namenskonvention für die Konfigura- 
tionsdatei hilft dabei, befindet sich 
aber leider nicht im Lieferumfang von 
NILFS2. Hier haben die Entwickler 
noch ein Stück Arbeit vor sich. 

Das Checkpoint- und Snapshot- 
Management von NILFS2 ist zwar noch 
nicht so elegant wie das von Netapps 
WAFL, aber durchaus nutzbar. Mit den 
Kommandozeilen-Tools kann der Ad- 
min Checkpoints und Snapshots anzei- 
gen lassen (/scp), anlegen (mkcp), in- 
einander überführen (chcp) und löschen 
(rmcp). Das Anlegen von reinen Check- 
points ist normalerweise nicht nötig, da 
NILFS2 es spätestens 5 Sekunden nach 
dem letzten Schreiben selbst erledigt. 


Reise in die 
Vergangenheit 


Will der Administrator auf den Daten- 
zustand eines bestimmten Zeitpunktes 
zugreifen, muss ein Snapshot anstelle 
eines Checkpoints vorhanden sein. 
Das Kommando mkcp -s legt einen 
Snapshot zum gegenwärtigen Zeit- 
punkt an, chcp ss <nummer> wandelt 
einen Checkpoint in einen Snapshot 
um. Überflüssige Snapshots kann der 
Admin wieder in Checkpoints konver- 
tieren. Wer nicht warten will, bis nilfs_ 
cleanerd einen Checkpoint beseitigt, 
kann ihn mit rmcp <nummer> ma- 
nuell löschen. Dabei ist allerdings zu 
beachten, dass manuelles Löschen 
nicht den belegten Speicherplatz frei- 
gibt — das erledigt zu gegebener Zeit 
der Cleaner-Daemon. 

Für Zugriffe auf einen Snapshot muss 
man dessen Nummer beim Mounten mit 
der Option -0 cp=<nummer> angeben. 
NILFS2 erlaubt es nicht, einen Snapshot 
im Schreibmodus zu mounten. Das ist 
jedoch kein Manko, da so etwas der 
Idee eines LFS widerspricht. 

Im Vergleich mit ext3fs lässt die 
Performance von NILFS2 noch zu 
wünschen übrig. Selbst beim sequen- 
tiellen Schreiben - die Spezialität ei- 
nes LFS - bleibt NILFS2 je nach ver- 
wendeter Hardware mehr oder weniger 
deutlich hinter seinem Konkurrenten 
zurück. Auch in den übrigen Teildiszi- 
plinen des bonnie++ schlägt sich der 
Neuling meist schlechter als das Li- 
nux-Urgestein. Lediglich beim Lö- 
schen von Dateien hat NILFS2 die Na- 
se weit vorn. Bedenkt man jedoch, 
dass die Arbeit des Garbage Collectors 
nicht in die gemessene Zeit eingeht, ist 
das beileibe kein Kunststück. 
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Schritt für Schritt: Während des 
Schreibens legt NILFS2 in 
regelmäßigen Abständen Checkpoints 
an. Der letzte Checkpoint gibt den 
aktuellen Zustand des Dateisystems 


wieder (Abb. 2). 


Partielles Segment n 


Tests mit NILFS2 als Samba-Share 
zeigten keine Auffälligkeiten. Sowohl 
das Live-Dateisystem als auch die 
Snapshots ließen sich ohne Schwierig- 
keiten exportieren. Die fehlende Unter- 
stützung für ACLs schränkt die An- 
wendungsmöglichkeiten allerdings ein. 


Partielles Segment n+1 


Partielles Segment n+2 


NFS-Freigaben ließen sich bei früheren 
Versionen nicht mounten. Mittlerweile 
kann man Verzeichnisse auf einer 
NILFS2-Partition gar nicht mehr per 
NFS exportieren. Für einen Fileserver 
oder ein NAS-System ist das Dateisys- 
tem daher nicht geeignet. 


Fazit 


NILFS2 ist ein vielversprechender An- 
satz für ein LFS unter Linux. Die durch- 
geführten Tests zeigen aber, dass es sich 
für den Einsatz in Produktionsumgebun- 
gen noch nicht eignet. Auch die Perfor- 
mance lässt noch etwas zu wünschen 
übrig. Immerhin stehen jedoch wichtige 
Punkte wie ein verbesserter Garbage 
Collector, das Snapshot-Management 
oder ACL-Unterstützung bereits auf der 
To-do-Liste der Entwickler. (mr) 
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REPORT 


Blacklist-Nutzung zeigt 


Internet-Missbrauch in Echtzeit 


Ausgefragt 


Sebastian Ganschow, Christian J. Dietrich, 


Norbert Pohlmann 


Anti-Spam-Blacklists erhalten zum Teil viele Tausend 
DNS-Abfragen pro Sekunde, die sich direkt auf den 
weltweiten E-Mail-Verkehr beziehen. Betreiber von DNSBL- 
Servern haben damit einen guten Blick auf das Geschehen - 
müssen dafür aber regelrechte Datengebirge bezwingen. 


Schutzmechanismus im Kampf ge- 

gen Internet-Missbrauch, vor allem 
Spam. Eine Reihe von Blacklists lässt 
sich kostenlos über das Internet nutzen. 
Üblicherweise kommt das DNS-Proto- 
koll für deren Abfrage zum Einsatz 
(DNSBL). Außer dem eigentlichen In- 
halt der Blacklists, also den Spam- 
Quellen in Form von IP-Adressen, 
sind auch die Abfragen ein interessan- 
tes Analyseobjekt — sowohl die abfra- 
genden Hosts als auch die abgefragten 
Adressen betreffend. 

Wer Zugriff auf die Abfragedaten 
hat, kann unter anderem den Anteil des 
Inhalts einer Blacklist bestimmen, der 


er ist ein wichtiger 
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überhaupt abgefragt wird. Darüber 
hinaus kann man die Menge an positi- 
ven Antworten, also Treffern auf der 
Blacklist, ins Verhältnis setzen zu al- 
len Anfragen (,Trefferquote“ oder „Hit 
Rate“). Ferner lässt sich bestimmen, 
wie sich etwa das Spam-Aufkommen 
entwickelt oder welche Nutzerzahl die 
Blacklist hat — allesamt wichtige Eck- 
daten für Wirksamkeitsbetrachtungen 
und Optimierungen. 

In einem Zeitraum von fast einem 
halben Jahr wurden die Anfragen an 
zwei Öffentliche Blacklists untersucht, 
darunter die vom Projekt „NiX Spam“ 
der iX. Sie umfasste zu Beginn der 
Untersuchung im Juli 2007 etwa 78 000 


IP-Adressen aus 166 Ländern, zum En- 
de (Januar 2008) bereits über 400 000 
Adressen. Zum Vergleich diente die 
„Blackholes“-Liste (www .five-ten-sg. 
com). Für beide betreiben die Autoren 
DNS-Slave-Server, sodass sie einen re- 
präsentativen Ausschnitt aus den An- 
fragen an die Blacklists „mitschneiden“ 
können. 


Sklavenbetreiber lesen mit 


Die NiX-Spam-Liste verfügte am Ende 
des Erfassungszeitraums über zehn 
DNS-Server, von denen zwei während 
der Messungen hinzukamen. Mit jedem 
hinzukommenden Server sollte die An- 
zahl der Anfragen pro Server zumindest 
vorübergehend abnehmen. Die Anzahl 
der Anfragen stieg jedoch praktisch über 
den gesamten Messzeitraum hinweg un- 
beirrt: Zu Beginn lag die Zahl der Re- 
quests pro Tag bei rund 5,5 Mio. Zuletzt 
liefen täglich etwa 9,5 Mio. Anfragen 
auf. Die Trendlinie deutet an, dass von 
einem weiteren Anstieg auszugehen ist. 

Während die abgefragten IP-Adres- 
sen zeigen, wo Spam und erwünschte 
E-Mails herkommen, enthalten die 
Adressen der Abfragenden selbst Hin- 
weise darauf, wer die Nutzer der 
Blacklist sind. Bei NiX Spam sind es 
pro Tag etwa 10 000 verschiedene 
Adressen und damit schätzungsweise 
mindestens ebenso viele Mailserver- 
Betreiber. Da die vorliegende Messung 
lediglich an einem Server stattfand, 
blieben eventuelle weitere Anwender 
der anderen Server unberücksichtigt. 
Da die DNS-Anfragen jedoch per 
Round Robin praktisch gleichmäßig an 
alle Server gehen, dürfte das Ergebnis 
dennoch realistisch sein. 

DNS-Resolver können ferner Ant- 
worten zwischenspeichern, sodass ver- 
mutlich nicht alle Anfragen tatsächlich 
bis zum Server der Blacklist durchdrin- 
gen. Unter Vernachlässigung des Re- 
solver-Caching entspricht jede Anfrage 
an die Blacklist einer SMTP-Session 
(zumeist mit einer empfangenen oder 
abgewiesenen E-Mail). Interessanter- 
weise blieb die Anzahl der anfragenden 
IP-Adressen über den gesamten Mess- 
zeitraum hinweg relativ konstant, wäh- 
rend die Zahl der Anfragen deutlich 
wuchs. Eine mögliche Erklärung dafür 
ist ein Anstieg des gesamten E-Mail- 
Volumens. 

Befindet sich eine abgefragte IP- 
Adresse auf der Blacklist, gibt der 
DNSBL-Server eine positive Antwort. 
Die Zahl verschiedener IP-Adressen 
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gibt Aufschluss über die Menge mail- 
sendender Hosts. Da Spam über 90 Pro- 
zent aller Mails ausmacht, tauchen vor 
allem solche IP-Adressen auf, die den 
Spam-Versendern zur Verfügung ste- 
hen. Die Abfragen an den NiX-Spam- 
Slave beziehen sich durchschnittlich 
auf 1,2 Mio. Adressen täglich. Da man- 
che davon mehrmals auftauchen, sind 
es insgesamt deutlich mehr Abfragen. 
Am 24. Dezember 2007 etwa fragten 
NiX-Spam-Anwender exakt I 158 148 
verschiedene IP-Adressen ab. Davon 
standen nur rund 10 % (112980) auf der 
Blacklist. Die Liste umfasste damals 
rund 300 000 IP-Adressen. Nur gut ein 
Drittel der gelisteten IP-Adressen wurde 
also an diesem Tag überhaupt abgefragt. 
Einige Monate zuvor, am 1. August 
2007, wurden „nur“ 781 472 verschie- 
dene IP-Adressen im Laufe des Tages 
abgefragt. Die Zahl verseuchter, für 
den Spam-Versand missbrauchter Sys- 
teme steigt anscheinend nach wie vor. 


Blackholes als 
Vergleichsbasis 


Die zum Vergleich herangezogene 
Blackholes-Liste verfügte im Untersu- 
chungszeitraum konstant über 14 DNS- 
Server. Anders als bei „NiX Spam‘ zeigt 
der Trend der Anfragen abwärts. Zu- 
gleich hat sich die Zahl der anfragenden 
IP-Adressen erhöht. Zwischen der An- 
zahl der abgefragten IP-Adressen und 
der positiven Antworten gibt es — uner- 
klärlicherweise — kaum Abweichungen. 


D 00 
03.08.2007 7 
24 08.2007 7 


30.11.2007 7 
07 12.200 


02.11,200 
09 11 2007 


(Blackhol 


Die NiX-Spam-Liste nimmt laufend neue Spam-Fallen in Betrieb und steigert 
dadurch den Anteil positiver Antworten (Abb. 1). 


Bei Blackholes liegt die Zahl der ab- 
gefragten unterschiedlichen IP-Adres- 
sen pro Tag im Durchschnitt bei rund 
1 Mio. Am 24. Dezember 2007 standen 
davon etwa 320 000 auf der Liste. Dies 
entspricht rund 32 %, mehr als dreimal 
so viel wie bei NiX Spam. Über den 
gesamten Dezember 2007 hinweg be- 
lief sich die Anzahl an verschiedenen 
IP-Adressen auf 4 744 440, während 
der gesamten fünf Monate zeigten sich 
sogar 17 742 550 - offenbar vor allem 
aus Bereichen dynamisch immer wie- 
der neu vergebener Adressen. 

Anfang August belief sich die An- 
zahl an verschiedenen, abgefragten IP- 
Adressen der Blackholes auf 1 006 668. 
Hiervon standen etwa 228 000 auf der 


A-TRACT 


@ Die bei Anti-Spam-Blacklists abgefragten IP-Adressen sind mindestens ebenso 
interessant wie der eigentliche Datenbestand, da sie ein realistisches Bild vom 
laufenden E-Mail-Geschehen vermitteln. 


© Die Abfragen bei Blacklists geben sowohl die räumliche Verteilung von 
Spam-Quellen als auch den zeitlichen Ablauf von Spam-Angriffen wieder. 


© Spam-Versender nutzen laufend über eine Million IP-Adressen, meist über 
verseuchte PCs. Sie verwenden einen Großteil davon nur für äußerst kurze Zeit. 


Blacklist, die sich damit potenziell 
spammenden Hosts zuordnen ließen. 


Trefferquote ist nicht alles 


Ein wichtiger Indikator dafür, ob sich 
das Abfragen einer Blacklist über- 
haupt lohnt, ist der Anteil der positiv 
beantworteten Anfragen. Je höher die 
Trefferwahrscheinlichkeit, desto mehr 
Spam-Nachrichten könnten mithilfe 
der Blacklist erkannt werden und des- 
to effektiver ist die Liste. Andererseits 
ist die „Hit Rate“ in Verbindung mit 
der Gesamtanzahl an Anfragen auch 
ein Indiz für die Menge an Spam, die 
versendet wird. 

Der Trefferanteil bei NiX Spam stieg 
über den gesamten Zeitraum der Unter- 
suchung hinweg deutlich (Abb. 1). Er 
hat sich während des Zeitraums fast 
verdoppelt und lag zuletzt bei weit über 
40 %. Eine hohe Hit Rate bedeutet in 
erster Linie, dass viele abgefragte 
Adressen tatsächlich auf der Liste ste- 
hen. Dies geht allerdings nur so lange 
gut, wie die Zahl der fehlerhaft gelis- 
teten IP-Adressen (False Positives) sehr 
gering bleibt. Für die Bewertung der 
Qualität einer Blacklist muss daher 
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REPORT 


E-Mail 


neben der Trefferquote immer auch der 
False-Positive-Anteil berücksichtigt 
werden. Eine automatische Messung der 
False-Positive-Rate gestaltet sich jedoch 
mindestens so schwierig wie die Defini- 
tion von „False Positive“ an sich und ist 
derzeit Gegenstand der Forschung. 

Das Sinken der Zugriffszahlen auf 
die Blackholes könnte auf deren rela- 
tiv hohe False-Positive-Rate zurückzu- 
führen sein. Al Iverson hat etwa zum 
gleichen Zeitpunkt, zu dem unsere 
Messungen begannen, angefangen, ver- 
schiedene Blacklists zu analysieren 
und die Blackholes schlecht bewertet 
(www .dnsbl.com). 

Bei einem Spam-Anteil von zurzeit 
über 90 % treffen sämtliche Statistiken 
zwangsläufig vor allem Aussagen über 
unerwünschte E-Mails — so auch dieje- 
nige über Quellregionen (siehe Tabel- 
len). Bei beiden Blacklists belegen die 
USA und Russland die ersten beiden 
Plätze. Neun Länder finden sich in den 
„Top 10“ beider Blacklists. Ein Drittel 
der Anfragen für IP-Adressen aus den 
USA beantwortet NiX Spam positiv. 
Bei den IP-Adressen aus Russland ist es 
sogar die Hälfte der Anfragen. Der An- 
teil für aus Deutschland empfangene 
Spam-Mails liegt nur bei 10 %. Daraus 
lässt sich schließen, dass die Nutzer die- 
ser Blacklist größtenteils Spam aus den 
USA, Russland und Korea empfangen. 

Der Anteil positiv beantworteter An- 
fragen liegt bei Blackholes wesentlich 
niedriger. Auf Anfragen für IP-Adressen 
aus den USA liefert sie nur in rund ei- 
nem Viertel der Fälle eine positive Ant- 
wort. Immerhin ein Drittel der Anfragen 
zu deutschen IP-Adressen beantwortet 
sie jedoch positiv (NiX Spam: 10 %). 

E-Mails aus China sind offenbar 
meist Spam. Das Ergebnis deckt sich 
mit den Aussagen von Anti-Spam- 
Dienstleistern. In absoluten Zahlen 
werden die AS von den türkischen, ita- 


Land Anfragen positive Antworten 
USA 36 687 286 11 750 439 
Russland 15 070 834 8 406 100 
Deutschland 14 957 047 1 494 028 
Südkorea 14.067 659 8 604 614 
Brasilien 8 592 407 2 611 582 
Großbritannien 8 200 419 2 454 146 
Polen 8.049 853 2 796 431 
Türkei 7747 089 2.016 771 
Spanien 6 848 259 2371162 
Italien 6 695 144 1 682 333 


Top 10 der bei der NiX-Spam-Blacklist 
abgefragten IP-Adressen nach Ländern 
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Drei Tage im Überblick: Die Trefferquote (rot) steigt mit der Lebensdauer eines 
Eintrags, doch die meisten Einträge sind nur für extrem kurze Zeit aktiv (Abb. 2). 


lienischen und polnischen Telecoms 
(TTnet, Telecom Italia und TP) hier am 
häufigsten abgefragt. 

Unter den bei Blackholes abgefragten 
Adressen fallen die AS von Arcor und 
Korea Telecom aus dem Rahmen, denn 
der Anteil an positiven Antworten ist 
dort mit jeweils fast 99 % sehr hoch. 
Fast jede IP-Adresse, zu der die Black- 
holes-Liste konsultiert wurde, stand 
auch tatsächlich auf der Blacklist. Man 
könnte aufgrund dieses Ergebnisses auf 
gewisse Abneigungen des Blacklist-Be- 
treibers schließen. Die zweite Reihe bil- 
den die beiden autonomen Systeme von 
Chinanet (AS 4837 und 4134). Der re- 
lative Anteil an positiv beantworteten 
Anfragen liegt in beiden Fällen bei 
rund 87 %. Sie verursachen ein deutlich 
höheres absolutes Aufkommen an An- 
fragen als Arcor und Korea Telecom. 

Auf der NiX-Spam-Liste spielt Arcor 
dagegen keine große Rolle. Die abge- 
fragten Adressen werden dort derzeit 


Land Anfragen positive Antworten 
USA 19 700 000 4 760 000 
Russland 6 325 000 1 122 000 
Türkei 4 441 000 1 573 000 
Deutschland 4 035 000 1 368 000 
Brasilien 3 852 000 1 194 000 
Italien 3 778 000 1 135 000 
Großbritannien 3 253 000 1 289 000 
Polen 3 226 000 1 542 000 
China 3 109 000 2729 000 
Spanien 2 774 000 915 000 


Top 10 der abgefragten IP-Adressen 
bei Blackholes nach Ländern 


dominiert von der Koreanischen Tele- 
com (11 Mio. Abfragen, 80 % davon po- 
sitiv beantwortet), TTnet (10 Mio /44 %) 
und Telefonica del Peru (5 Mio./51 %). 
Die Deutsche Telekom taucht, was die 
Abfragen angeht, mit 3,2 Mio. pro Tag 
erst auf Platz 10 auf, und davon werden 
nur 730 000 (23 %) positiv beantwortet, 
ein besonders geringer Wert. 


Sehr geringe Lebensdauer 


Bei NiX Spam gelistete IP-Adressen fal- 
len nach drei Tagen wieder aus der 
Blacklist, wenn von ihnen nicht erneut 
Spam ausgeht. Bisher basierte dieser 
Wert allein auf Experimenten. Eine 
Statistik über die Verteilung der Zeiträu- 
me, in denen IP-Adressen abgefragt 
werden, zeigt, dass tatsächlich nur rund 
8 % der abgefragten IP-Adressen über- 
haupt über einen Zeitraum von mehr als 
drei Tagen auftauchen - sprich: E-Mails 
(meist Spam) versenden. Anders ausge- 
drückt: 92 % aller abgefragten IP-Adres- 
sen werden in einem Zeitraum von drei 
Tagen abgefragt. Drei von vier abge- 
fragten IP-Adressen scheinen sogar nur 
maximal einen Tag lang aktiv zu sein. 

Noch deutlicher zeigt sich dieses Phä- 
nomen hinsichtlich der Aktivitätszeit- 
räume innerhalb eines Tages (Abb. 2). 
Die x-Achse stellt den Aktivitätszeit- 
raum, die y-Achse die Anzahl abge- 
fragter IP-Adressen in logarithmischer 
Skalierung dar. Wird eine IP-Adresse 
beispielsweise je einmal um 12:00 und 
um 13:00 Uhr (und dann im Messzeit- 
raum nicht mehr) abgefragt, gilt sie als 
eine Stunde lang aktiv. 
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Die Darstellung verdeutlicht, dass ein 
großer Teil der Anfragen eine sehr kurze 
Aktivität aufweist. Von den pro Tag 
rund 1,35 Mio. verschiedenen, abgefrag- 
ten IP-Adressen sind rund 496 000 IP- 
Adressen (entsprechen 37 %) weniger 
als eine Minute lang aktiv. In fast 93 % 
der Fälle tauchen diese Adressen auch 
tatsächlich nur ein einziges Mal inner- 
halb eines Tages auf. Weitere 6 % der 
„kurzlebigen“ Adressen tauchen inner- 
halb der ersten Minute zweimal auf. 
Ein lokales Maximum befindet sich 
zwischen 23 und 24 Stunden, offenbar 
durch dauerhaft betriebene Mailserver 
verursacht. Während eines längeren 
Zeitraums, etwa über drei Tage, zeigt 
sich ein weiteres Muster. 

Die Erkennungsrate fällt erwartungs- 
gemäß bei sehr kurzlebigen IP-Adressen 
entsprechend gering aus. Da eine IP- 
Adresse zunächst als Spam-Quelle auf- 
fallen und in die Blacklist gelangen 
muss, haben kurzlebige oder einmal 
verwendete IP-Adressen gute Chan- 
cen, nicht erkannt zu werden. Für Be- 
treiber von Blacklists bedeutet das Er- 
gebnis jedoch die Herausforderung, 
die Trägheit der Systeme zu minimie- 


ren. Keine leichte Aufgabe, wenn man 
nicht riskieren möchte, zu viele Adres- 
sen fälschlicherweise zu blockieren. 

Ein ebenfalls zu beobachtendes, 
noch unklares Phänomen sind „selbst- 
abfragende“ IP-Adressen: Gelegent- 
lich entspricht die abgefragte IP-Adresse 
der abfragenden. Das fand während des 
Messzeitraums über 150 000-mal statt, 
etwas zu häufig etwa für gelegentliche 
Experimente von Endanwendern. Even- 
tuell gehen solche selbstbezüglichen 
Abfragen von Bots aus, die prüfen, ob 
ihr Wirt bereits unangenehm aufgefal- 
len ist - oder von unvorsichtig konfi- 
gurierten Mailservern. 


Fazit und Ausblick 


Die Verhaltensanalyse von Blacklists 
kann Licht in das Dunkel bringen, 
wenn es um ein Gefühl für die Nutzer 
einer Blacklist sowie Eigenschaften der 
gelisteten Adressen geht. Langfristig 
lassen sich möglicherweise aus dem 
Abfrageverhalten einer Blacklist Opti- 
mierungen wie zur Lebensdauer einer 
IP-Adresse auf der Blacklist ableiten. 


Derzeit stellt darüber hinaus die auto- 
matische Messung des False-Positive- 
Anteils einer Blacklist noch eine For- 
schungsaufgabe dar. (un) 


SEBASTIAN GANSCHOW 


arbeitet als Senior Network Engineer 
bei der Dr. Bülow & Masiak GmbH in 
Marl. Er unterstützt das Institut für Inter- 
net-Sicherheit an der FH Gelsenkirchen 
im Forschungsbereich E-Mail-Sicherheit. 


CHRISTIAN DIETRICH 


ist Mitarbeiter des Instituts für Internet- 
Sicherheit an der FH Gelsenkirchen 
und für den Forschungsbereich E-Mail- 
Sicherheit verantwortlich. 


PROF. DR. NORBERT POHLMANN 


ist Informatikprofessor für Verteilte 
Systeme und Informationssicherheit 
sowie Leiter des Instituts für Internet- 


Sicherheit an der FH Gelsenkirchen. X 


1X 5/2008 


95 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


REPORT 


Geodaten 


Freies Landkartenprojekt: OpenStreetMap 


Weltkarte zum 
Mitmachen 


Internetdienst 
braucht heutzutage 


Jochen Topf 


seine interaktive Karte, und jeden Tag gehen neue 
Karten-Mashups online. Aber diese Karten sind häufig nur 
vorgefertigte Bitmaps unter einer einschränkenden Lizenz und 
ohne Zugriff auf die Rohdaten. Abhilfe verspricht das Open- 
StreetMap-Projekt, das Geodaten der ganzen Welt sammelt. 


as Projekt „OpenStreetMap“ 
Des“. siehe „Onlinequellen“ [a]) 

will eine freie Karte der ganzen 
Welt zusammenstellen. Dabei geht es 
in erster Linie um Straßendaten, hinzu 
kommen Fuß- und Waldwege, Eisen- 
bahnen, Seen und Flüsse, Wald- und In- 
dustrieflächen und vieles andere vom 
Briefkasten bis zum Skilift. 

Tausende von Hobbyisten sammeln 
die Daten, indem sie mit GPS-Geräten 
(Global Positioning System) durch die 
Gegend laufen oder fahren und sich 
dabei Straßennamen und andere Infor- 
mationen notieren. Alternativ dienen 
Satelliten- oder Luftbilder als Aus- 
gangspunkt. Um die Erkundung vor 
Ort kommt man aber nicht herum, da 
das Luftbild weder Straßennamen noch 
andere Details zeigt. Und diese einer 
bestehenden Karte zu entnehmen, ist 
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lizenzrechtlich nicht erlaubt. Manch- 
mal treffen sich Interessierte zu soge- 
nannten „Mapping Parties“, bei denen 
sie meist ein Wochenende lang ge- 
meinsam die Geodaten eines bestimm- 
ten Bereiches erfassen. Bei solchen 
Veranstaltungen geht es nicht nur um 
die Arbeit, sie dienen vor allem dem 
Kontakt mit Gleichgesinnten. 


Flexibilität durch Tagging 


OpenStreetMap ist ähnlich wie ein 
Wiki organisiert: Jeder kann nach der 
einfachen Anmeldung neue Daten ein- 
tragen und bestehende ändern. Da die 
Datenbank alle Versionen von Objek- 
ten speichert, lässt sich jeder histori- 
sche Stand rekonstruieren, etwa um ge- 
löschte Objekte wiederherzustellen. 


Jedes geometrische Objekt verfügt 
über beliebige Attribute („Tags“). Das 
ermöglicht Flexibilität: Jeder kann die 
Dinge in die Datenbank eintragen, die 
ihn interessieren, ohne das vorher mit 
anderen absprechen zu müssen. Damit 
das nicht im Chaos endet, diskutieren die 
Teilnehmer Konventionen und Standards 
auf der Mailingliste und im Projekt-Wiki 
und dokumentieren sie. Für die üblichen 
Straßentypen und Dinge wie Briefkäs- 
ten und Hotels gibt es schon passende 
Tags, an die sich die meisten Teilneh- 
mer halten. Es bleibt aber jedem unbe- 
nommen, weitere Tags zu vergeben. 

Jeder Einzelne entscheidet auch, wel- 
che Informationen er überhaupt beitra- 
gen kann und will. Unbekannte Daten, 
zum Beispiel die Geschwindigkeitsbe- 
schränkung auf einer Straße, lässt man 
einfach weg. Es wird sich schon später 
jemand finden, der sie ergänzt. 

Dieser offene und etwas hemdsär- 
melige Ansatz hat bereits viel Kritik 
einstecken müssen, aber das Ergebnis 
sieht durchaus vielversprechend aus. 
Die Datenqualität ist allerdings noch 
recht uneinheitlich. In manchen Regio- 
nen herrscht weitgehend Leere, andere 
sehen zwar besser aus, enthalten aber 
noch viele Fehler. Es gibt aber auch 
viele vollständige Ecken, deren Daten 
denen kommerzieller Karten das Was- 
ser reichen können. Insbesondere bei 
Fuß-, Rad- und Waldwegen ist die Ab- 
deckung der OSM-Karten häufig bes- 
ser als die der üblichen Anbieter, die 
für den Autoverkehr optimieren. 

Zwar herrscht noch viel Durcheinan- 
der und früher oder später wird es zu 
Vandalismus kommen, aber Wikipedia 
hat gezeigt, dass man solche Schwie- 
rigkeiten in den Griff bekommen kann, 
ohne die Freiheit zu stark einschränken 
zu müssen. Ein Streit zwischen türki- 
schen und griechischen Zyprioten über 
die zu verwendenden Namen hat die zu 
erwartenden Konflikte demonstriert — 
Karten können eben auch ein Mittel der 
Politik sein. 

Nachdem es nach der Gründung vor 
dreieinhalb Jahren in England langsam 
voranging, hat das Projekt im letzten 
Jahr einen großen Schritt nach vorne 
getan. Sein Schwerpunkt liegt in Eu- 
ropa, vor allem in Großbritannien und 
Deutschland ist die Abdeckung schon 
gut. Nach der ersten Mapping Party 
überhaupt auf der Isle of Wight im Mai 
2006 war die Insel das erste systema- 
tisch und komplett erfasste Gebiet. 

Im Frühsommer 2007 war Karlsruhe 
als erste deutsche Großstadt vollständig 
erfasst. Das vor einem Jahr noch leere 
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Berlin weist heute zumindest die inne- 
ren Stadtteile Komplett auf. In ländliche- 
ren Gebieten ist die Abdeckung aller- 
dings meist noch etwas dünner. Auch 
außerhalb Europas geht es voran: So 
wurde Bagdad, von dem kaum Karten, 
aber gute Luftbilder zu bekommen sind, 
aus der Ferne in großen Teilen erfasst. 
Die Straßennamen und andere, nur 
vom Boden erkennbare Details, fehlen 
dort allerdings. Wer sich selbst ein Bild 
verschaffen will, schaue sich die Karte 
auf der Webseite des Projekts an oder 
vergleiche verschiedene Versionen der 
OSM-Karten mit Google-Karten [b]. 


Freie Daten aus den USA 


Zusätzlich zu den speziell für OSM ge- 
sammelten Daten stehen inzwischen ei- 
nige andere Quellen zur Verfügung: 
Die holländische Firma AND hat ihren 
gesamten professionell erfassten Daten- 
bestand der Niederlande gespendet. Aus 
dem Frida-Projekt der Firma Intevation 
stammen die Geodaten für die Stadt 
Osnabrück. Und im Februar kamen die 
sogenannten TIGER-Daten hinzu, die 
die US-amerikanische Behörde für 
Volkszählung (Census Bureau) zur all- 
gemeinen Nutzung freigegeben hat. 

Kommerzielle Karten sind meist 
teuer und nur unter einer einschrän- 
kenden Lizenz erhältlich. Sie verbietet 
in der Regel die Weitergabe an andere 
oder die Veröffentlichung im Internet. 
Sogar die Geodaten, die Gemeinden 
und Landesvermessungsämter mit öf- 
fentlichen Geldern gesammelt haben, 
stehen der Allgemeinheit nicht zur 
Verfügung. Anders in den USA: Von 
Bundesbehörden gesammelte Daten 
stehen automatisch in der „Public Do- 
main“. Das gilt unter anderem für die 
erwähnten TIGER-Daten und die Sa- 
tellitenbilder der NASA. 

Google Maps, Yahoo Maps und an- 
dere Anbieter erlauben zwar das Einbin- 
den ihrer Karten in eigene Webseiten, 
schränken aber die Nutzung erheblich 
ein. So ist der Zugriff auf die Karten 


Karlsruhe war als erste deutsche Großstadt nahezu vollständig im OpenStreet- 
Map-Projekt erfasst. In mancher Hinsicht sogar besser als anderswo: Die Daten 
enthalten nicht nur Straßen, sondern auch viele Fuß- und Waldwege (Abb. 1). 


nur über die API erlaubt; man darf zum 
Beispiel keinen Ausdruck weitergeben. 
Google verbietet zudem die Nutzung 
auf passwortgeschützten Seiten und 
behält sich vor, jederzeit Werbung auf 
den Karten zu schalten. 


Lizenz für 
beliebige Nutzung 


Das OpenStreetMap-Projekt benutzt 
dagegen die Lizenz Creative Commons 
Attribution-Share Alike [c]. Sie erlaubt 
eine beliebige Nutzung, wenn man den 
Urheber nennt und anderen die glei- 
chen Rechte an einem daraus abgelei- 
teten Werk einräumt. Eine kommerzielle 
Nutzung ist möglich. Die CC-Lizenzen 
wurden allerdings für Schriftwerke oder 
Musikstücke und dergleichen entwor- 
fen; ihre Interpretation in Bezug auf 
Geodaten ist noch unklar. 

Eine MySQL-Datenbank speichert 
die mehrere GByte großen Kartendaten 
des OSM-Projekts. Einmal wöchentlich 
erstellen die Betreuer daraus einen Ab- 
zug mit dem aktuellen Datenbestand 
der ganzen Welt, das sogenannte Pla- 
net File, und stellen es zum Herunter- 


sich regional noch stark. 


A-TRACT 


© OpenStreetMap ist ein Wikipedia-artiges Projekt mit dem Ziel, Geodaten für eine 
Weltkarte zu sammeln und kostenlos unter einer freien Lizenz herauszugeben. 


© Es gibt große Fortschritte, aber Vollständigkeit und Qualität der Karten unterscheiden 


© Verschiedene Programme ermöglichen es jedem, die Daten zu editieren oder passende 
Karten für eigene Anwendungen zu erzeugen. 
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laden zur Verfügung. Zusätzlich gibt es 
täglich und neuerdings stündlich Da- 
teien mit den letzten Änderungen. 

Die Daten liegen in einem OSM- 
spezifischen XML-Format vor. Die 
üblicherweise für geografische Infor- 
mationssysteme (GIS) verwendeten For- 
mate sind nicht geeignet, da sie auf ei- 
nem anderen Datenmodell basieren. 
Der Export von OSM-Daten in GIS- 
Formate ist natürlich möglich, dabei ge- 
hen aber Teile der Information verloren. 

Abweichend von typischen GIS-Da- 
tenmodellen kennt OpenStreetMap nur 
drei Datentypen: Nodes, Ways und Re- 
lations. Zur Identifizierung der Objek- 
te dient eine eindeutige, unveränderli- 
che ID. Nodes beschreiben genau 
einen Punkt auf der Erde mit seinen 
Koordinaten, beispielsweise einen Brief- 
kasten. Ways modellieren Linien und 
Flächen; ein Way besteht aus einer ge- 
ordneten Liste von mindestens zwei 
Nodes, die den Linienverlauf bezie- 
hungsweise den Umriss einer Fläche 
festlegen. Erst aus den einem Way zu- 
geordneten Tags ergibt sich, ob es sich 
um ein Linien- oder ein Flächenobjekt 
handelt. Ways beschreiben zum Bei- 
spiel Straßen und Wege, Eisenbahn- 
trassen, Flüsse, Seen und Wälder. 

Relations definieren komplexe Be- 
ziehungen zwischen Objekten. Sie fan- 
den erst im Oktober 2007 Einzug in 
das OSM-Datenmodell, und ihre Nut- 
zung ist derzeit noch in der Entwick- 
lung begriffen. Eine Anwendung sind 
Abbiegerelationen, wie sie für das Rou- 
ting notwendig sind. Damit lässt sich 
beispielsweise angeben, dass man von 
Straße A kommend an Kreuzung K in 
die Straße B nicht links abbiegen darf. 
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REPORT 


Geodaten 


Bei OpenStreetMap mitmachen 


OpenStreetMap lebt davon, dass jeder Da- 
ten aus den Gegenden beiträgt, die er 
kennt. Das ist zwar einfach, aber ein paar 
kleine Hürden sind zu überwinden. Dazu 
gehört als Erstes der für das Ändern von 
OSM-Daten nötige Account. Ihn gibt es 
auf www.OpenStreetMap.org bei „sign 
up“. Nach der Anmeldung stellt man auf 
der Karte den relevanten Ausschnitt ein 
und klickt auf den „Edit“-Reiter. Er star- 
tet den Flash-Editor Potlatch zum Andern 
und Ergänzen der Geodaten, der alle An- 
derungen sofort in die Datenbank schreibt. 


Potlatchs Bedienung ist gewöhnungsbe- 
dürftig und begeistert nicht jeden. Eine Al- 
ternative bildet der deutlich mächtigere 
Editor JOSM [i]. Er ist in Java geschrie- 
ben und funktioniert daher unter allen 
Betriebssystemen. Nach seinem Start lädt 
man per „File -> Download“ einen Aus- 
schnitt der Daten vom Server herunter. Die 
Bedienung ähnelt der eines Vektor-Zeichen- 
programms. Über das Presets-Menü oder 
den Properties-Dialog ändert man die Tags 
der Datenobjekte. Welche üblich sind, be- 
schreibt die Seite „De:Map Features“ im 
OSM-Wiki. Anderungen wirken sich erst 
nach dem Hochladen per „File -> Upload 
to OSM“ auf die OSM-Daten aus. 


So lassen sich Geodaten zwar ändern, zum 
Beispiel ein fehlender Straßenname er- 
gänzen. Daten für ein bisher leeres Gebiet 


Auch der Modellierung von Flächen 
mit Löchern dienen Relations, die hier 
auf die Ways für die inneren und äuße- 
ren Ringe verweisen. 


Tags definieren 
Eigenschaften 


Beliebige Tags der Form Schlüssel= 
Wert können Nodes, Ways und Rela- 
tions Eigenschaften zuordnen. Zum 
Beispiel könnte eine Bundesstraße die 
Tags highway=primary, ref=B3 und 
name=Durlacher Straße besitzen. lei- 
sure=park markiert einen Park, ameni- 
ty=post_box einen Briefkasten. Eisen- 
bahn-, S-Bahn- und Straßenbahntrassen 
bekommen alle Tags, die den Schlüssel 
railway verwenden. Es gibt eine Fülle 
an Zusatztags, die weitere Attribute be- 
schreiben, etwa die zulässige Höchstge- 
schwindigkeit bei Straßen oder layer=1 
für Brücken zur eindeutigen Festlegung, 
welche Straße über welcher verläuft. 
Das Datenmodell ist also recht pri- 
mitiv, damit aber leicht verständlich 
und flexibel. Der Großteil der Informa- 
tion steckt in den Tags, deren Menge 
ständig wächst. Das Projekt hat darauf 
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müssen jedoch irgendwoher kommen. Eine 
Quelle kann ein GPS-Gerät sein, das den 
gefahrenen Weg in einem sogenannten 
Track aufzeichnet. Direkt im GPX-Format 
oder von GPSBabel [j] dorthin konvertiert, 
dient er als Hintergrund für JOSM (via 
„File -> Open“). Darauf zeichnet man ma- 
nuell die Straßen und Wege nach und ver- 
sieht sie mit Tags. Wer sich unterwegs 
Notizen gemacht hat (zum Beispiel auf 
einem Stück Papier oder mit der Aufnah- 
mefunktion eines MP3-Players), kann zu- 
sätzlich Straßennamen, die Richtung von 
Einbahnstraßen, die Position von Kirchen 
und Briefkästen et cetera eintragen. 


Eine Alternative dazu ist das Abzeichnen 
von Satellitenbildern. Mögliche Vorlagen 
sind die Landsat-Bilder der NASA, die 
allerdings nur eine geringe Auflösung ha- 
ben, oder die Satelliten- oder Luftbilder 
von Yahoo. Yahoo hat erklärt, dass das 
Abzeichnen seiner Luftbilder (nicht jedoch 
der Karten) für OSM-Zwecke zulässig sei. 


Potlatch-Benutzer bekommen die Yahoo- 
Bilder automatisch im Hintergrund ange- 
zeigt. JOSM-Anwender müssen erst das 
WMS-Plug-in für Landsat-Bilder bezie- 
hungsweise das YWMS-Plug-in für Yahoo- 
Bilder installieren. Dann steht ein WMS- 
Menü zur Verfügung, mit dem sie die 
Bilder für den aktuell angezeigten Aus- 
schnitt anfordern können. 


verzichtet, von vornherein eine defini- 
tive Liste aller Tags vorzugeben, statt- 
dessen „erfinden“ die Teilnehmer neue, 
wenn jemand sie brauchen kann. 

Ein wesentlicher Vorteil von OSM 
gegenüber anderen Kartendiensten im 
Internet ist der Zugriff auf die Rohdaten. 
Anwender können daher selbst ent- 
scheiden, welche Objekte auf einer 
Karte in welcher Form erscheinen sol- 
len. Was sie dazu brauchen, ist ein so- 
genannter Renderer, der aus den Roh- 
daten eine ansprechende Karte erzeugt. 
Davon gibt es mehrere, am häufigsten 


kommen die Programme Osmarender 
[d] und Mapnik [e] zum Einsatz. 

Osmarender ist ein XSLT-Skript, das 
SVG (Scalable Vector Graphics) aus 
dem OSM-XML-Format erzeugt. Map- 
nik erstellt Bitmap-Karten, braucht dazu 
allerdings eine PostgreSQL-Datenbank, 
in die man die OSM-Daten importieren 
muss. Es ist deutlich schneller als Osma- 
render und kommt mit größeren Daten- 
mengen zurecht. 

Beide Renderer legen in einer Re- 
geldatei die Darstellung der Objekte 
fest. Im Web gibt es zum Beispiel für 
Radfahrer die Cycle Map [f]. Sie stellt 
Fahrradrouten wesentlich prominenter 
dar als Autobahnen. 

Neben eigenen Karten sind viele an- 
dere Anwendungen der OSM-Daten 
denkbar. Für die Nutzung in klassischen 
Geoinformationssystemen gibt es den 
Konverter Osmexport, [g] in das Shape- 
Format. Unter anderem lassen sich die 
Daten zur Straßennavigation verwen- 
den, zum Beispiel mit dem Linux-Pro- 
gramm Navit [h]. Noch können Qualität 
und Vollständigkeit der Daten sowie die 
zur Verfügung stehende Navigations- 
software mit der kommerziellen Kon- 
kurrenz allerdings nicht mithalten. 

In vielen Bereichen sind die OSM- 
Daten heute noch unvollständig, trotz- 
dem stellen sie eine der größten und 
interessantesten Sammlungen freier 
Geodaten dar. Für viele Anwendungen 
können sie in Zukunft eine ernstzuneh- 
mende Alternative zu proprietären Kar- 
tendaten sein. (ck) 
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REPORT 


Groupware 


Collaboration-Lösungen für KMU 


Neu gruppiert 


Auch in kleineren Unternehmen nimmt der Druck zu, die 
Zusammenarbeit zwischen den Mitarbeitern unterschiedlicher 
Bereiche zu verstärken. Mit dem Einsatz von Groupware 
hoffen viele, Synergien zu nutzen und mehrfache 
Datenhaltung zu vermeiden. 


iX mit einer Studie [1] des Themas 

Groupware angenommen. Parallel 
dazu befassten sich zwei Artikel in der 
Ausgabe 4/2007 mit dem gleichen 
Komplex, damals aber mit dem Fokus 
auf den Einsatz in großen Unternehmen 
[2, 3]. Inzwischen wächst aber auch in 
kleineren Firmen der Druck, ihre ver- 
schiedenen Unternehmensbereiche bes- 
ser respektive überhaupt miteinander 
zu vernetzen und beispielsweise die 
Datenhaltung und das Termin-Manage- 
ment zu zentralisieren. 


5 chon vor gut einem Jahr hatte sich 
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iX nahm das als Anlass, Groupware- 
Anbieter mit dem Fokus Einsatz in 
kleinen und mittleren Unternehmen 
(KMU) zu befragen. Fünfzehn Herstel- 
ler schickten die ausgefüllten Fragebö- 
gen zurück, die Zusammenfassung der 
Ergebnisse finden sich in der Tabelle 
am Ende des Artikels, die ausschließ- 
lich auf den Herstellerangaben beruht. 
Fast alle Anbieter der letztjährigen Ar- 
tikel fühlen sich auch für den Sektor 
KMU zuständig. Nur von IBM respek- 
tive Lotus kam keine Antwort, vielleicht 
aufgrund der vorösterlichen Urlaubszeit. 


Für die Tabelle griffen wir daher auf 
die gegebenenfalls nicht mehr ganz ak- 
tuellen Daten der Groupware-Studie [1] 
zurück. 

Einige — vor allem Open-Source-ba- 
sierte — Produkte gibt es nicht nur als ei- 
genständige Software, sondern auch als 
integrierte Bestandteile von Komplett- 
paketen. iX wird in der nächsten Ausga- 
be einige dieser Rundum-glücklich-Lö- 
sungen mit dem Platzhirsch in diesem 
Segment, Microsofts Small Business 
Server, vergleichen. Die Redmonder 
beanspruchen für ihre Groupware- 
Komponente Exchange immerhin einen 
Marktanteil von 59 % in Deutschland. 
Das schlägt sich indirekt auf die Ex- 
change-Alternativen nieder: Nur ein gu- 
tes Drittel der Pakete läuft auch unter 
Windows. 


Besonderheiten 
der Zielgruppe KMU 


Kleinere Firmen haben in Sachen IT be- 
sondere Anforderungen. Hier fehlt es 
zum einen oft an dediziertem Know- 
how und zum anderen an der Zeit zur 
Betreuung komplexer Systeme wie einer 
Groupware. Ein wichtiges Kriterium 
war daher die Verfügbarkeit eines pro- 
fessionellen Ansprüchen genügenden 
Service- und Support-Angebots. Da- 
durch bleibt eine Reihe reiner Open- 
Source-Projekte wie phpGroupware, 
PHProject oder die Horde-Groupware 
hier außen vor. Beim freien Kolab sieht 
die Sache anders aus: Hier haben sich ei- 
nige Dienstleister aus dem Open-Source- 
Umfeld zusammengetan und kümmern 
sich als Kolab-Konsortium sowohl um 
die Serviceangebote als auch um die 
Koordination der Weiterentwicklung. 
Auch spielt die Frage der Lokalisierung 
für das hier betrachtete Einsatzszenario 
eine nicht unerhebliche Rolle. 
Welches Produkt für wen infrage 
kommt, hängt natürlich nicht nur vom 
Serviceangebot, sondern in erster Linie 
von den Präferenzen eines Unterneh- 
mens ab. Das Betriebssytemspektrum 
reicht von den PC-verwurzelten wie 
Windows und Linux bis hin zu den bei 
KMU vermutlich eher weniger stark 
verbreiteten Plattformen S/390 und 
AS/400. So laufen von den 15 Kandi- 
daten bis auf Exchange alle auch unter 
Linux. Lediglich sechs lassen sich unter 
Windows betreiben — genauso viele wie 
unter Mac OS X. Selbst Unix-Anhänger 
können sich zwischen mehr Alternati- 
ven (sieben) entscheiden. Clientseitig 
verlagert sich die Verteilung wieder in 
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REPORT 


Groupware 


Richtung Redmond: Keines der Produk- 
te verschließt sich der Realität der über- 
wiegend mit Windows ausgestatteten 
Arbeitsplatz-PCs in den Unternehmen 
und umgeht, wie weiter unten beschrie- 
ben, viele Hakeleien mit der Anbin- 
dung mobiler Endgeräte. 

Leider ist der Begriff „Groupware“ 
nirgends eindeutig definiert — jeder Her- 
steller versteht etwas anderes darunter. 
Um eine gewisse Vergleichbarkeit der 
Herstellerangaben zu gewährleisten, be- 
nutzt dieser Artikel eine eigene Begriffs- 
bestimmung. Eine Groupware ist ein 
E-Mail- und Kommunikationssystem, 
das folgende grundlegende Inhalte be- 
reitstellt: Adressen und Kontakte, Auf- 
gaben, E-Mail, gemeinsame Folder, 
Kalender sowie Notizen. Diese Anfor- 
derung erfüllen alle Produkte in der 
Tabelle. 

Eine Gelegenheit zur Differenzie- 
rung ergibt sich für die Hersteller bei 
darüber hinausgehenden Funktionen, 
bei denen teils gravierende Unter- 
schiede auftreten. Einige legen großen 
Wert auf Abgleich mit möglichst vie- 
len mobilen Geräten, andere setzen 
den Schwerpunkt beispielsweise auf 
breite Unterstützung für Unified-Mes- 
saging- oder Portalfunktionen. Auch 
in Sachen Standardschnittstellen treten 
deutliche Unterschiede zutage. So 
fehlt erstaunlich vielen Produkten die 
Option, die verschlüsselten Varianten 
von Standardprotokollen wie IMAP4S 
oder POP3S einzusetzen. 


Ausgeprägte 
strukturelle Ähnlichkeiten 


Manche Groupware-Systeme liefern 
keine Clients mit, sie setzen hierfür 
ausschließlich auf Outlook. Andere 
wiederum haben eigene Fat Clients für 
unterschiedliche Plattformen im Ange- 
bot, während ein weiterer Teil der An- 
bieter sich dem reinen Webzugriff ver- 
schworen hat. 

Abbildung 1 zeigt den grundsätz- 
lichen Aufbau vieler Groupware-Sys- 
teme und deren Zusammenspiel mit den 
Clients. Die technische Ausführung va- 
riiert natürlich stark, die Variationen 
reichen von der klassischen monolithi- 
schen Server-Applikation bis hin zum 
J2EE-Applikationsserver mit AJAX-ba- 
siertem Web-2.0-Zugriff. Grundsätzlich 
jedoch befindet sich die eigentliche 
Groupware-Software auf einem (oder 
mehreren) Servern. Die verarbeiteten 
Daten werden dort gespeichert, oft in 
SQL-Datenbanken, manchmal jedoch 
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auch im Dateisystem in eigenen Da- 
tenstrukturen. Für den E-Mail-Aus- 
tausch nach draußen ist ein SMTP-Ser- 
ver nötig. Dieser Mail Transport Agent 
(MTA) ist manchmal ins System inte- 
griert, manchmal greifen die Anbieter 
auf Fremdprodukte zurück. Oft bieten 
die Mailserver-Komponenten auch 
POP3 und IMAP an, sodass reine Mail- 
clients zumindest auf die E-Mails zu- 
greifen können. Viele Systeme reali- 
sieren ihren Verzeichnisdienst über 
LDAP. Daneben existiert einen ganzer 
Zoo anderer Schnittstellen, um auf die 
weiteren Daten außer E-Mail und 
Adressen, beispielsweise Termine, zu- 
greifen zu können: CalDAV, WebDAV, 
GroupDAV, SOAP, XML-RPC. Für 
darüber hinausgehende Aktivitäten 
kommen in der Regel proprietäre Pro- 
tokolle zum Einsatz. 


Potenzielle clientseitige 
Stolperfallen 


Die Clients sind über ein Netz ange- 
bunden. Am einfachsten haben es die 
reinen Weblösungen: Sie kKommunizie- 
ren meist ausschließlich über HTTP 
oder HTTPS. Bei den Fat Clients kom- 
men meist mehrere Protokolle zum 
Einsatz, was beispielsweise den Zugriff 
von Remote Clients auf das System er- 
schwert. Ein solcher Protokollzoo kann 
schnell zum sicherheitstechnischen Alb- 
traum geraten. Eine Besonderheit stellt 
Outlook dar. Microsofts Client funk- 
tioniert am besten, wenn es mit dem 
Server über das (proprietäre) MAPI 
(Mail-API) kommunizieren kann. Alle 
vorgestellten Groupware-Systeme reali- 
sieren dies, indem sie lokal auf den 
Clients ein Outlook-Plug-in installie- 
ren, das Outlook gegenüber die MAPI 
anbietet und zusätzliche Menüpunkte in 
Outlook einfügt, wie die Konfiguration 
der Netzparameter des Servers, Abwe- 
senheitsschaltungen, serverbasierte Re- 
geln und Filter et cetera. Zur Groupware 


hin kommunizieren diese Plug-ins dann 
entweder über Standardprotokolle, 
tunneln über HTTP oder verwenden 
proprietäre Protokolle. Daneben kann 
Outlook aber auch von Haus aus zu- 
mindest für E-Mail und Adressen di- 
rekt über Standardprotokolle mit ex- 
ternen Servern Daten austauschen, also 
über SMTP, POP, IMAP (neuere Ver- 
sionen), LDAP& Co. 

Sobald mobile Endgeräte ins Spiel 
kommen, wird die Situation noch kom- 
plizierter. In der Regel kommunizieren 
die Geräte über proprietäre Protokolle 
(über serielles Kabel, Bluetooth, IrDA 
(Infrarot) oder TCP/IP) mit einer Syn- 
chronisierungssoftware auf dem Client- 
Rechner. Die Software verbindet sich 
dann entweder als Plug-in oder via 
MAPI mit Outlook. Von dort wandern 
die Daten in das Groupware-System. 
Es besteht aber auch die Möglichkeit, 
über das SyneML-Protokoll direkt das 
mobile Endgerät mit dem Groupware- 
System abzugleichen, ohne einen Client 
wie Outlook dazwischenzuschalten. Dies 
setzt allerdings eine direkte TCP/IP- 
Verbindung zwischen Endgerät und 
Server voraus. 

Systeme ohne Fat Client, also reine 
Weblösungen, bieten grundsätzlich 
keine lokale Datenhaltung. Dies ist 
kein Problem, solange man eine ständi- 
ge, hinreichend breitbandige HTTP(S)- 
Verbindung zum Server sicherstellen 
kann, sei es im LAN oder über das 
Internet — im letzteren Fall aber bitte 
verschlüsselt. Die Browser-Lösungen 
haben prinzipiell Schwierigkeiten, mo- 
bile Endgeräte wie PDAs und MDAs 
zu synchronisieren. 


Outlook als generischer 


Windows-Client 


Letzteres machen sich die Fat-Client- 
Lösungen meist recht einfach: Sie 
unterstützen oft nur Outlook als Client 
und überlassen es den proprietären 


AJAX-Clients. 


A-TRACT 


© Vor allem im Bereich KMU ist der Begriff Groupware in der Praxis nicht mehr 
zwingend ein Synonym für Microsofts Exchange. 


© Das Spektrum der Angebote reicht von klassischen Client/Server-Architekturen 
mit Fat Clients über reine Weblösungen bis hin zu J2EE-Applikationsservern mit 


© Open-Source-Pakete greifen meist auf Konnektoren von Drittanbietern für die 
Anbindung von Outlook als Client zurück. 
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Ein Groupware-Server bietet den Clients oft unterschiedliche Verbindungs- 
möglichkeiten - ein Grund für die Komplexität des Gesamtsystems (Abb. 1). 


Tools des MDA/PDA-Herstellers, ihre 
Geräte mit Outlook zu synchronisieren. 
Fat Clients haben den Vorteil, dass sie 
eine lokale Datenhaltung betreiben 
(können) und somit auch offline zur 
Verfügung stehen. 

Fast alle Systeme, die Fat Clients 
unterstützen, unterstützen auch Out- 
look. In jedem Fall ist die lokale In- 
stallation eines sogenannten Konnek- 
tors nötig. Manche Teile von Outlook 
jedoch, die beim Betrieb an einem Ex- 
change-Server als integrale Bestandteile 
erscheinen, sind gar keine generischen 
Outlook-Eigenschaften. Dazu zählen 
unter anderem die beliebten Assisten- 
ten, allen voran der Abwesenheitsassis- 
tent und der Zugriff auf öffentliche Ord- 
ner. Diese Teile muss der Konnektor 
zur Verfügung stellen. Die Ausprägung 
dieser Konnektor-Komponenten variiert 
von Lösung zu Lösung stark und reicht 
von „nahezu vollständig“ bis hin zu 
„nicht vorhanden“. 

Für eine fundierte Entscheidung 
über die Eignung einer Groupware 
müssen Interessenten zunächst die ei- 
genen Anforderungen festlegen. An 
erster Stelle steht die Frage nach dem 
Funktionsumfang, die auch eventuelle 
erweiterte Fähigkeiten wie CRM, Pro- 
jektmanagement, CTI-Anbindung, In- 
stant Massaging, Intranetportal oder 
eine Workflow-Komponente berück- 
sichtigen sollte. 

Ebenso wichtig ist die Zahl der zu 
versorgenden Arbeitsplätze, wobei man 
hierbei durchaus auch einen Gedanken 
an die nähere Zukunft verwenden soll- 
te. Neben der Zahl spielt auch deren 
Ausstattung gegebenenfalls eine Rolle, 
eine Client/Server-Architektur mit Fat 
Clients hat andere Anforderungen als 
ein Web-Ansatz. Wie oben ausgeführt, 
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beeinflussen eventuell zu verwenden- 
de mobile Endgeräte diese Entschei- 
dung. Ist ein externer Zugriff per Inter- 
net vorgesehen, sollte man sich für Fat 
Clients gleich nach einer VPN-Lösung 
umsehen. 


Kontaktfreudigkeit als 
Entscheidungskriterium 


Soll sich die Groupware an vorhandene 
Anwendungssysteme (ERP, CRM, ...) 
koppeln oder muss sie mit Verzeichnis- 
diensten (LDAP, ADS, ...) zusammen- 
arbeiten, liefert ein Blick in die Zeile 
der vorhandenen Schnittstellen wichti- 
ge Informationen. 

Besonders sorgfältig muss man bei 
der Migration von einem schon vorhan- 
denen Groupware-System vorgehen. 
Viele der genannten Produkte bieten 
keine oder nur rudimentäre Möglich- 
keiten, Daten aus anderen Systemen 
zu übernehmen. Insbesondere die Rol- 
len und Rechte der vorhandenen Nut- 
zerkonten lassen sich selten in ein 
neues System übernehmen. 

Und nicht zu vergessen die Frage, in 
welche IT-Landschaft sich die Group- 
ware einbetten soll. Der tatsächliche 
Nutzen einer Groupware hängt stark 
von der Akzeptanz durch die Mitarbei- 
ter ab. Ein eingeführtes Outlook abzu- 
lösen, erfordert vermehrt Schulungen 
und Überzeugungsarbeit. 

Unter Umständen erfolgt eine Ent- 
scheidung nicht nur aufgrund techni- 
scher Kriterien. Auch die Lizenzkosten 
sind nicht unbedingt der maßgebende 
Faktor. Bei der Wahl zwischen freier 
oder proprietärer Software kann es in 
gewisser Weise eine geschäftspoliti- 
sche Entscheidung sein, denn mit freier 


Software sind andere Arbeitsabläufe 
und Prozesse verbunden. 

Zwar bietet freie Software viele Vor- 
teile, beispielsweise fallen die Lizenz- 
kosten weg. Damit sinkt die Eintritts- 
schwelle. In allen Fällen, in denen 
eigene Erweiterungen nötig sind, lassen 
sich diese problemlos durchführen. 
Aber da es nicht einen einzelnen Her- 
steller gibt, muss man im IT-Manage- 
ment andere Prozesse einführen: Die 
IT-Abteilung muss sich stärker mit der 
Software beschäftigen. Geld muss man 
bei jeder Software einsetzen — aber in 
unterschiedlicher Weise: nicht für Li- 
zenzen wie bei proprietärer Software, 
sondern verstärkt für Arbeitszeit und 
Ausbildung der Mitarbeiter wie bei den 
freien Pendants. 


Fazit 


Für KMU existiert ein gut sortiertes 
Angebot von Groupware-Paketen, die 
sich im Einzelnen bei den über die 
Grundausstattung hinaus angebotenen 
Funktionen teils deutlich voneinander 
unterscheiden. Da eine Entscheidung 
für eine Groupware unter Umständen 
tief in betriebliche Abläufe hineinwirkt, 
sollten sich potenzielle Kunden, bei- 
spielsweise anhand der im Artikel vor- 
gestellten Kriterien, ihre Anforderungen 
verdeutlichen. Mit diesen Informatio- 
nen und anhand der Daten in der Tabel- 
le kann man schnell fündig werden - 
und die Lösung muss keinesfalls immer 
Exchange heißen. 
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Groupwa re 


Produkt 
Anbieter 
EMail 
www 


installierte Basis 
Dienstleistungen ' 


Sprache? Server//Administration/Doku 
Architektur 
Qutlook-Support/MAPI/OWA/Sync only/ 
Nachrichten via Adressbuch/MAPI extern 
eigene/andere FAT Clients 

eigener Web-Client/Umfang 
Betriebssysteme Server 

Betriebssysteme Client 

Anforderungen Server 


dito Client 


dito Netz 


Protokolle 
Importformate 
Exportformate 


Verzeichnisdienst Authentifizierung/ 
mitgeliefert 

Single-Sign-On 

SQl-Schnittstelle 

eigener MTA/andere nutzbar 
Unified Communication 


Außenanbindung 

Anbindung an CRM/ERP/EAI o. SOA 
maximale Konten/parallele Benutzer 
pro Server 

Quotas/Clusterfähigkeit 
offline-fähig//Synchronisation via 
mobile Endgeräte 


zentrales Backup/inkl. Einzelereignisse 
Patches automatisch/manuell/individuell 
Spam-Schutz intern/extern 

Virenschutz intern/extern 


Migrationshilfen 
Datenübernahme lokal/zentral/ 
Exchange | Qutlook/Notes | Domino 
Groupwise//andere 

übernehmbare Daten? 
Funktionsumfang‘ 7 


Lizenz/Abrechnung 
Kosten Server/User/Webclient 


Wartung jährlich/1. Jahr inklusive 
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Communigate Pro 5.2 


Communigate Systems, Division of 
Stalker Software GmbH 
europe@communigate.com 
www.communigafe.com 

12.000 Kunden, 130 Mio Mail Accounts 
ode, f 


DE, EN, FR, weitere//EN/EN 


Client/Server mit Webanbindung, 
eigenes Flash-Ul 


ab 9B/V VW I 


Flash-basiertes Ul//Evolution, jeder 
standardbasierte 

v /E-Mail, Kalender, Adressen, Shared 
Folders, (IM, VoIP, Presence nur Flash UI) 
Windows, Linux (auch PowerPC, IA64), 
Unix, S/390, AS/400, Mac 0S X, andere 
Windows, Linux/Unix, Mac 0S X 


ab Pentium, 512 MByte RAM 

keine Vorgaben 

keine Vorgaben 

PoP3IS], IMAPAIS], SMTP[Aurh], TL5/ 
SSL, LDAP[S], MAPI vollständig, andere 
CSV, TXT, LDIF, vCard, iCal, PST (ab 98) 
CSY, TXT, LDIF, vCard, iCal, PST (ab 98) 
LDAP/LDAP 


LDAP 


= 
Fax®, Voicemail, VoIP, Videokonferenz, 
IM, Shared Folder, Shared Calendar 


ale 
kA 


vW 

—/Outlook, Activesync, Airsync, SyneML 
PalmOS, Windows Mobile, Symbian, 
Blackberry 

RZ 

— ING JE 

V / Nailshell, Cloudmark 

v /McAfee, Kaspersky, Sophos, Clamav 


v ‚eigene Tools 

v /W I II Mia MAP oder POP 
,cde,f‘ghi 
6F&,%g,h,kl,n,o,p 
proprietär,/pro Server oder User 


899 € (25 User)/gestaffelt/0 € 


161 €/- 


David.zehn! Business Edition 
Tobit.Software AG 


hallo@tobit.com 

www.tobit.com 

> 4 Mio 

ag 

DE, EN, FR, weitere/DE, EN/ 
DE, EN 

Client//Server mit Webanbindung 


= / Simple MAPI)/=/=/=/ 
(v Simple MAPI) 

Windows [Mobile], Java/- 

v vollständig 

Win bis 2003, Linux 2.4.x 

bis 2.6.18 

Windows ab 2000 

Voraussetzung des 0S 
Voraussetzung des 0S 


100 MBit 


PoP3IS], IMAPA[S], SMTPFAuth], 
TLS/SSL, Simple MAPI, andere 
SV, TXT, vCard, iCal, PST 

(ab 2000), VCF, Word-Makro 
CSV, TXT, vCard, iCal, eml, 

VCF SKL, XLS 

== 


‚AD, NT-DOM, LDAP, NIS[+], eDir 
v 

v N (alle SMIP basierten) 
Fax, Voicemail, VoIP, SMS 


Re 
5000/5000 


KVz 

v /Aetivesync, eigenständig 
Windows Mobile, Symbian, 
Blackberry, iPhone 

vw 

vNWF 

JE 

Ze 


v ‚eigene Tools 


De ee 


d,fg,h 
6, bg 


proprietär/pro Server, User, 
Transaktion 

495 € (5 User)/ab 40 €/ 
ab 60 € 

iv 


Exchange 2007 
Microsoft Deutschland GmbH 


k.A. 

www.microsoft.com 

im hohen Millionenbereich 
d,e,f,g 


DE, EN, FR, weitere/DE, EN, FR, 
weitere/DE, EN, FR, weitere 
Client//Server mit Fat Client und 
Webzugriff 

ab 202 v v WIN 


Windows, Mac/- 

v /siehe Hersteller-NWW 
ab Windows NT 

Windows ab 2000, Mac 


1 CPU-Core, 2 GByte RAM und 
100 GByte HD 

1 CPU-Core, 256 MByte RAM, 
50 GByte HD 

5 KBit/s 


POP3, IMAP4, SMIP[Auth], TLS/ 
SSL, LDAP, MAPI vollständig 
IKT, vCard, iCal, PST 


vCard, iCal, PST 
M/- 


M 

NG 

WE 

Fax, Voicemail, VoIP 


le 
< 150 000/< 150 000 


vN 
v /Outlook, Activesync, Entourage 
Windows Mobile 


v/w) 
RZ 
v/EHS 
vJERS 


v ‚eigene und fremde Tools 
vNNWIEF 
ub,d,e,f,g,h 

6%, d,f,h,i,j;,k 
proprietär/pro Server, User, 
Device 


abhängig vom Lizenzmodell 


abhängig vom Lizenzmodell 


Groupwise 7.0.3 
Novell 


kontakt-de@novell.com 
www.novell.de 

35 Mio 

0-9 


DE, EN, FR, weitere/DE, EN, FR, 
weitere//DE, EN, FR, weitere 
Client//Server mit Fat Client und 
Webzugriff 


ab 8 /-/-/- WW 


Windows, Linux, Mac/Evolution, Kontact, 
andere via POP, IMAP oder SOAP 

v /E-Nail, Kalender, Adressbuch, 
Dokumente, Termine 

Windows ab 2003, ab SLES 9, 
Netware ab 5.x 


Windows ab 2000, Linux, Mac 
x86 oder x86_64 mit 32-Bit-Mode 


keine Vorgaben 


ka. 


Popa[s], IMAPA[S], SMTP[Auth], TLS/ 
SSL, LDAP[S], MAPI vollständig, andere 
(SV, vCard, iCal, PST 


cv, vCard, iCal 
LDAP, eDirectory/LDAP, eDirectory 
LDAP, eDirectory 


Ze 
Fax, Voicemail, VoIP 


=/v (SAP Netweaver)/— 
10 000/5000 


vN 

v /Aetivesync, eigenständig 
(SyneML)PalmOS, Windows Mobile, 
Symbian, Blackberry 

vW 

WW 

v /6wava, Messaging Architects u. a. 
V /Gwava, Messaging Architects u. a. 


v ‚eigene Tools 


AN 


ad,hg,h 
6F,a-p 


proprietär/flat, pro Organisation, 
User 
-/134 €/3l € 


34 € pro User/- 
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InstantOGo Advanced Server Edition 2.2 


Skyrix Software AG 


sales@skyrix.de 
www. skyrix.de 
circa 500 


0-9 
DE, EN/DE, EN/DE, EN 
Webanwendung mit Browser-Zugriff 
ab 8 /-/-/-/- 


—/Evolution, Kontact, Sunbird, Apple 
iCal 


v /t-Mail, Gruppenkalender, Ressourcenplanung, 
Dokumentenverwaltung, Kontakte, Aufgaben 


eigenes Linux auf bootfähigem ISO-Image 


beliebig, da Browser-basiert 
Pentium ab 1,5 GHz, 1 GByte RAM, 
30 GByte HD 

ab 500 MHz, 128 MByte RAM 


64 KBit/s (Client), 100 MBit/s 


Intranator Business Server 5.0.3/ 
Groupware Connector 1.2.1 
Intranet AG 

info@intra2nef.com 
www.intra2net.com//de 

2100 Installationen, 53 000 Benutzer 
u,cdf 

DE, EN/DE, EN/DE 

Client//Server mit Fat Client und 
Webzugrift (AIAX) 

ab 2000 /-/-/W VW 

V /Kontact 

v /t-Mail, Kontakte 

Intranator Linux 

Windows ab 2000, Linux 

1 GHz CPU, 512 MByte RAM, 40 GByte HDD 


Mindestanforderungen von Microsoft 


100 MBit/s 


Kerio Mail Server 6.5 
Kerio Technologies Inc. 


info@kerio.com 
www.kerio.de 
> 20.000 

kA 


DE, EN, FR, weitere/DE, EN, FR, 
weitere//EN, weitere 
Client/Server mit Webzugrift 


ab 98 /-/-/-/- 

—/Evolution, Mailapp, Entourage, 

Sunbird 

v /nollständig 

Windows, Linux, Mac 0S X ab 10.4 

Windows ab 2000, Linux, Mac 

CPU 500 MHz, 256 MByte RAM/Mac: 64/65, 
256 MByte RAM oder Intel Core, 1 GByte RAM 


keine Anforderungen 


lediglich benötigt 


Kolab Server 2.2RC2 
Intevation GmbH 


info@intevation.de, info@kolab-konsortium.de 
www.intevation.de, www.kolab-konsortium.de 
nicht ermittelbar, da freie Software 

dt 


DE, EN, FR, weitere/DE, EN, FR, 
weitere//DE, EN 

Client/Server mit Fat Client und 
Webzugriff 


(ab 2000) )/-/-/v)/- 


v (Kontact)/Evolution mit Einschränkungen, 
E-Mail-Clients 

V /Webmail, Kalender, Adressbuch, 
‚Aufgaben, Notizen, gemeinsame Ordner 
Linux, Unix mit OpenPKG-Support 


Windows (via Konnektor), Linux, Unix, 

Mac 05 X mit KDE-Support 

dirca 2 MByte pro gleichzeitig zugreifendem Nutzer, 
Festplatte circa 800 MByte zuzüglich Nutzerdaten 
KDE-fähiger Client vermutlich ab 

250 MByte RAM, für Windows: Outlook läuft 
Clients ab GSM (14 KBit/s) oder ISDN 

(64 KBit/s), Bandbreite für E-Mail 


POP3 
LDAP[S] 
SV, TXT, LDIF, vCard, iCal 


IT, LDIF, vCard, iCal 


[S], IMAPA[S], SMTP[Auth], TLS/SSL, 


PoP3[S], IMAPA[S], SMTPTAuth], TLS/SSL, 
MAPI vollständig, andere 
(SV, TXT, vCard, iCal, PST, Kolab XML 


SV, IX, vCard, iCal, PST, Kolab XML 


PoP3[S], IMAPA[S], SMIP[Auth], TLS/SSL, 
LDAP[S], andere 

CSV, TXT, vCard, iCal, PST (ab XP), 
IMAP-to-IMAP, 4DMail, eigene Migrationstools 
IT, iCal 


POP3[S], IMAPA[S], SMTP[Auth], LDAP[S], 
T1S/SSL, LDAP[S], andere 

CSV, LDIF, vCard, iCal, PST (mit Konnektor), 
E-Mail als MBox oder Maildir 

CSV, TXT, LDIF, vCard, iCal, PST (mit Konnektor), 
E-Mail als MBox oder Maildir 


LDAP/LDAP -/kA. AD, NT-DOM, LDAP, eDirectory, Apple AD, LDAP, eDirectory/LDAP (AD via 3rd Party) 
OpenDirectory, Own Database/— 
kA. = = kA. 
iv E - en 
v /Postfix SE v/- v /nur zusätzlich 
= Fax = Fax, Voicemail, VoIP, Videokonferenz, 
IM, weitere möglich 
re ee ur 
Se je v (Metadex)/=/-, Own APl —/=/(=) Kolab ist quasi eine SOA 
keine Begrenzung/500 konzipiert für 5 — 250 Benutzer kein Limit der Software >100 000/2000 — 3000 
UZ vl vl GIZ 
v /Qutlook, Sunbird v /Outlook (Hotsync, Activesync) v /Outlook, Activesync, DalDAV v /Qutlook, Activesync, SyncML(Webclient), KPilot 
PalmOS PalmOS, Windows Mobile, Symbian PalmOS, Windows Mobile, Symbian, PalmOS, alle SyneMl-fähigen 
Blackberry, iPhone 
RZ NZ NZ ZZ 
WR vWr TIAE SRAIE 
V /Kaspersky, Sophos v/- we vW 
v /Kaspersky, Sophos Ale v /Nwil, CA, Eset, Grisoft, Sophos, vNW 
Symantec, ClamAV 
v ‚eigene Tools v „eigene Tools v „eigene Tools v ‚über Drittanbieter (imapsyng, Toltec) 
ZIERT ZINN v /v I /-/-/4DNail, Communigate Pro,  v/V /v /-/-/Open-Xchange 
IMAP-to-IMAP 
ad,e,fg,h udhghi u,cde,fßg a,d,g,.h 


6F, a,b, e 


6F6, # (Volltextsuche) 


6F6, # (Volltextsuche) 


6F%, f, h teilweise, (j} = o leicht ergänzbar) 


GPLv2 (Zidelook proprietär)/flat, pro 
Server (Zidelook proUser) 
690 €/100 € (5 User)/- 


345 E/v 
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gemischt/pro Server, User 


490 € (10 User)/30 € / 
(Outlook-Anbindung) 0 € 

Server (10 User) 350 €, Konnektor: 25% 
von liste/v 


proprietär,/pro User 
374 € (10 User)/]5 €/0 € 


=? 


diverse Open-Source-lizenzen, Konnektoren 
proprietär/entfällt 
0 € /nur Konnektor-lizenz/0 € 


jährliche Grundwartungskosten bei den Mitgliedern 
des Kolab-Konsortiums bei <10 000 Mailboxen 
5 € /Mailbox sowie 5 € /Client 
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Groupware 


Produkt 
Anbieter 

E-Mail 

www 

installierte Basis 
Dienstleistungen" 


Sprache? Server//Administration// 
Dokumentation 
Architektur 


Qutlook-Support/MAPI/OWA/Sync 
only/Nachrichten via Adressbuch/ 
MAPI extern 

eigene//andere FAT Clients 
eigener Web-Client/Umfang 
Betriebssysteme Server 


Betriebssysteme Client 
Anforderungen Server 


dito Client 


dito Netz 


Protokolle 
Importformate 
Exporfformate 


Verzeichnisdienst Authentifizierung/ 
mitgeliefert 

Single-Sign-On 

SQl-Schnittstelle 

eigener MIA/andere nutzbar 
Unified Communication 


\ußenanbindu ng 


Anbindung an CRM/ERP/EAI oder 
Son 


maximale Konten/parallele Nutzer 
pro Server 
Quotas/Clusterfähigkeit 
offline-fähig//Synchronisation via 


mobile Endgeräte 


zentrales Backup/inklusive 
Einzelereignisse 

Patches automatisch/manuell/ 
individuell 

Spam-Schutz intern/extern 
Virenschutz intern/extern 
Migrationshilfen 
Datenübernahme lokal/zentral/ 
Exchange | Outlook/Notes | Domino/ 
Groupwise//andere 
übernehmbare Daten? 
Funktionsumfang‘: 7 


1 
Lizenz/Abrechnung 


Kosten Server/User/Webclient 
Wartung jährlich/1. Jahr inklusive 
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IBM Lotus Notes/DominO 7.0.2 
IBM Deutschland GmbH 
halloibm@de.ibm.com 

www.lotus.de 

dirca 125 Millionen 

den 


DE, EN, FR, weitere/DE, EN, FR, 
weitere//DE, EN, FR, weitere 
Client//Server mit zusätzlichem 
Webzugrift (AJAX) 

ab BW /-/-/ NW 


WE 

v /Standardkomponenten 

Windows, Linux, Unix, 1505, z0S 
Windows, Linux, Mac 0S X 

256 MByte — 512 MByte RAM, 

ab 1,5 GByte HD (je nach Plattform) 
ab 128 MByte RAM 


Client ab 64 KBit/s, 100 MBit/s 


Pop3[S], IMAPA[S], SMTP[Auth], 
LDAP[S], TLS/SSL, MAPI, andere 
TXT, LDIF, iCal, Lotus 1-2-3 


TXT, LDIF, Lotus 1.23 
LDAP/- 


AD, NT-DOM, Citrix, Tivoli 

vV 

NZ 

Fax, Voicemail, Videokonferenz 


v (Siebel)/v (SAP-Konnektoren)/ 
V (via Webservices) 

keine Beschränkungen/ 
hardwareabhängig 

vw 

v /EasySync 


PalmOS, Windows Mobile, 
Symbian, Blackberry, Nokia 
vl 


AZ 


RE 

SZ 

v „eigene und 3rd-Party-Tools 
vNWIIFFr 


ab,de,f,g,h 


proprietär,/pro Organisation, 

User 

1295 € (25 User)/102 €/71 € 
inklusive/v 


,egi,ij,ki,p 


Open-Xchange Express Edition 
Open-Xchange Gmbh 
info@open-xchange.com 
www.open-xchange.com 

k.A. 

kA. 


DE, EN, FR/DE, EN/DE, EN, FR 


J2EE Application Server mit 
Webzugrift (AJAX) 
ab 2003 v /-/-W I 


—/Evolution, Kontact, andere via vCard, 
iCal, WebDAV 
v /nollständig 


Linux (Ubuntu 6.06, wird mitgeliefert) 
Windows, Linux, Unix, Mac 0S X 

für 50 User: Athlond4x2//Core2 Duo, 
2 GByte RAM 

browserfähig (IE7, Firefox 2.x, 
Seamonkey ab 1.0) 

kA. 


PoP3[S], IMAPA[S], SMTP[Auth], 
LDAPIS], TLS/SSL, andere 
SV, vCard, iCal, PST 


SV, vCard, iCal, PST 
LDAP, eDirectory/— 


mit passendem Plug-in: jeder 
kA. 
vN 


bis zu 10 000/1000 - 2000 


vw 
v /0utlook 


— (geplant) 
NE 
Ar 
GG 

1% 

v „eigene Tools 


v /v I /-/-J\inwx-Mail- 
Systeme 


od,hghi 
6%, b,f,g,h 


GPL und proprietär/pro User 


299 € (5 User)/35 €/0 € 
25% von Listenpreis/V 


PostPath Server 3.1.1 
PostPath Inc. 
info@postpath.com 
www.postpath.com 

k.A 

a-f 


DE, EN, FR, JP/EN/EN 


J2EE Application Server mit 
Webzugrift (AJAX) 
ab BW /-/-/W 


—/Evolution, Thunderbird, Eudora 


v /nollständig 


Linux (RHEL/CENTOS 4.5, SLES 10) 
Windows, Linux 

Pentium 4, 80 GByte HD, 

2 GByte RAM 

keine Beschränkungen 


100 MBit/s 


POP3, IMAP4, SMIP, TLS/SSL, 
MAPI vollständig 

CSV, PST, MS Exchange 
Migration Tool 

CSV, PST, MS Exchange 
Migration Tool 


M/- (N) 


keine Beschränkungen/ 
hardwareabhängig 
vNV 

v /Outlook, Activesync 


PalmOS, Windows Mobile, 
Symbian, Blackberry 
vY 


KAT 
=/V alle gängigen 
=/Y alle gängigen 


v ‚MS Exchange Migration Tool 
MAR SAFAF 


ubcdefghi 
6P,a-p 
proprietär/pro User 


ab 60 User frei/63 US-S/31 US-$ 
22% vom Listenpreis/— 


Scalix 11.3 

Scalix, Inc. — a Xandros Company 
info@scalix.com 

www.scalix.com 

1,5 Mio 

a,cF 


DE, EN, FR, weitere/DE, EN, FR, 
weitere/DE, EN, weitere 
Webanwendung mit Fat Clients 


ab 98W /=/-Iv IV 


—/Evolution, Kontact, Thunderbird, 
Sunbird, Lightning, Apple Mail, iCal 
v /t-Mail, Kalender, Kontakte, 
Adressbuch, Regeln, Public Folder 


Linux 

Windows, Linux, Unix, Mac 0S X 

1 CPU, 2 GByte RAM, 10 GByte HD 
1 CPU, 512 MByte RAM, 2 GByte HD 


Client: 64 KBit/s, weniger mit 
SmartCache, LAN, WAN 


Popa[s], IMAPA[S], SMIP[Auth], TLS/ 
SSL, LDAP[S], MAPI vollständig, andere 
(SV, vCard, iCal, PST, Scalix 
Mailbox-Format 

SV, vCard, iCal, PST, Scalix 
Mailbox-Format 

AD, NT-DOM, LDAP, NIS[+], eDirectory, 
Kerberos, Radius/LDAP 

AD, Kerberos 

v 

v (nur für interne Mail),/Sendmail 
vw? 


v /(v via Qutlook)/- 


bis 25 000/< 10.000 


vNW 
v /Outlook, Activesync 


PalmOS, Windows Mobile, Symbian, 
Blackberry, iPhone 
vi 


EN 


v /Spamassassin 

= ING 

v ‚eigene Tools, EShuttle 

VW IV Iv IX /Dpen-Xchange, 
IMAP, Sun 


u,cde,fgh 
6FS, f (Volltextsuche) 


proprietär, Scalix Public License 
basierend auf MPL/pro User 
0€/N - 60 EN € 
10-12 € pro User/v 
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teamXchange 2.1.1 

VIPcom GmbH 

info@vipcomag.de 
www.vipcomag.de 

4800 

Di 

DE, EN, FR, weitere/DE, EN/DE, EN 
Client/Server 

ab 98% /=/-/-/- 


—/Evolution, Kontact, Wilken OSBL (Open 
Source Business Library) 
kA 


Windows, Linux (x86, 5/390) 
Windows, Linux 

1 GByte RAM 

20 MByte 

Client: DSL, 100 MBit/s 

POP3, IMAP4, SMTP[Auth], LDAP[S], MAPI 
vollständig, andere 

SV, TXT, LDIF, vCard, iCal, PST 
CSV, TXT, LDIF, vCard, iCal, PST 
AD, LDAP/K.A. 

kA 


—/Postfix, Exim, James 
Fax, Voicemail, VoIP 


-/ (Wilken OSBL)/- 
1500/1500 


SIR 
—/Outlook, (SyncML)° 


kA. 
vv 
IN 


VW. 
BR 


ZIHRRIENTIF 
ode,hghi 

sr 
proprietär,/pro User 


0 €/20 - 60 €E/0 € 
18%/- 
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Kolab für UCS 2.0 
Univention GmbH 
info@univention.de 
www.univention.de 
100 000 User 

ter 


DE, EN, FR, weitere/DE, EN/DE 


Client/Server mit Fat Client und 
Webzugriff (AJAX) 
ab 2000 - WW N 


V /Kontact, Sunbird 


v /E-Mail, Kalender, Kontakte, Aufgaben, 
Notizen, gemeinsame Folder, Terminplanung 
(Einladungen, free/busy) 

Linux (Univention Corporate Server) 
Windows, Linux, Unix mit KDE 

kA. 


kA 


kA. 


Pop3[S], IMAPA[S], SMTP[Auth], TLS/SSL, 
LDAP[S], MAPI vollständig, andere 

SV, TXT, LDIF, vCard, iCal, PST, EMail 

als MBox 

SV, TXT, LDIF, vCard, iCal, PST, E-Mail 

als MBox 

AD, LDAP/LDAP 


v/- 
— (nur über Client-Plug-Ins) 


- 5 JE 
> 50 000/< 2000 Fat Clients 


VIY 

v /Qutlook, Kontact, SyncML, 
KitchenSync 

PalmOS, Windows Mobile, Symbian, 
Blackberry, alle SyneMl-fähigen 
vW 


VNN 


ZU. 
RZ 
v ‚eigene Tools 


Zr Vlaliz 


ub,cdef%ghij 
6F6 


diverse Open-Source-Lizenzen, 
Konnektor proprietär//pro Server, User 
MENLEN€ 
ab 4,90 € pro User/v 


WICE CRM-Groupware 5.2 
WICE GmbH 

info@wice.de 

www.wice.de 

4000 

a-f 


DE, EN/DE, EN/DE 
Webanwendung (Perl) mit Browser-Zugrift 


2000/=/=/W I 


= N= 

v /vollständig 

Linux 

Windows, Linux, Unix, Mac 0S X 
kA. 

kA. 


kA 


PoP3IS], IMAPATS], SMIP, TLS/SSL, LDAP 
SV, XLS 
(SV, vCard, iCal, XLS 


LDAP/LDAP 


NG 
vW 
Fax, VoIP 


EEE 
keine Einschränkungen 


eG 
== 
Zr 
NZ 
ZIKZ 
-W 


v ‚eigene Tools 


vFNNWNEF 
d, f 

6F,a-g 
eigene 0SS-Lizenz/pro User 


0 €E/N0 €/450 € 
18% der Lizenzkosten/— 


Zarafa 6.0 

Zarafa Deutschland GmbH 
info@zarafaserver.de 
www.zarafaserver.de 
3000 


den 
DE, EN, FR, weitere/EN/DE, EN, FR, NL 


Client//Server mit Fat Client und 
Webzugriff (AlAX/gSOAP) 
ab 2000/ /=/-W Iv 


—/Evolution, Kontact, Thunderbird, 
Sunbird, Apple Mail, iCal, ... 
v /analog zu Outlook 


Linux 
Windows, Linux, Unix, Mac 05 X 
empfohlen: 4 GByte RAM, RAIDI/RAIDI0 


Qutlook- bzw. Browser-Anforderungen 


Clients: ab 9600 baud bzw. 56 KBit/s, 
100 MBit/s 


pop3[S], IMAPA[S], SMTP[Auth], TLS/SSL, 
LDAP[S], MAPI vollständig 
CSV, TXT, LDIF, vCard, iCal, PST 


CSV, TXT, LDIF, vCard, iCal, PST 
AD, NT-DOM, LDAP, NIS[+], eDirectory/— 


AD, NT-DOM, LDAP 


— ING 
Fax, VoIP, Videokonferenz 


SugarCRM via Z-Merge/alle SOAP-basierten 
via Z-Merge/v 
2500/1000 


vW 
v /Outlook, Activesync, Z-Push 


Windows Mobile, Symbian 
GG 

ERAUE 

= 


EZ 
v ‚eigene Tools und Drittanbieter 


v /v W IWW Gyros IMAP, Maildir, Mbox, 


Tobit David 


bdhghi 
6F%, f (Volltextsuche) 


proprietär//pro User 


150 €/30 €/0 € 
20% vom Listenpreis// 
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REPORT 


Desktops 


25 Jahre PCs mit grafischer Oberfläche 


Mäuserennen 


Susanne Nolte 


Je älter die IT wird, desto dichter drängen sich ihre Jubiläen. 
Nun dürfen die mausgesteuerten Desktop-Computer ihren 


25-jährigen Geburtstag feiern. 


is die ersten PCs mit grafischer 
® Oberfläche 1983 ihren Weg in die 

Läden fanden, hatten Systeme mit 
„Zeigereingabegerät“ bereits einen lan- 
gen Weg hinter sich. Nachdem Doug 
Engelbart 1963 die erste Maus entwor- 
fen hatte, eine Art Handwalze, die die 
Bewegungen in x- und y-Richtung auf 
den Bildschirm übertrug, arbeitete sein 
Team an multiplen Bildschirmfenstern 
(Windows). Die präsentierten sie 1968 
erstmals der Öffentlichkeit. 

Weitere fünf Jahre später zeigte das 
Xerox Palo Alto Research Center 
(PARC) den Prototyp eines Groß-Com- 
puters namens Xerox Alto mit GUI und 
Maus. Er kam zwar 1978 in die Läden, 
verkaufte sich aber nur an Universitä- 
ten - immerhin kostete er 32 000 US-$. 

Doch auch der 1981 vorgestellte und 
mit 16 500 US-$ ebenfalls nicht preis- 
werte Nachfolger namens Star verkaufte 
sich nicht; ebenso wenig wie das etwa 
6300 US-$ teure Xerox System 6085, 
das 1985 bereits über eine optische 
Maus verfügte und die Ära der PARC- 
Computer abschloss. Ihren Platz in der 
Ahnengalerie haben sich die PARC- 
Rechner vor allem als Vorbilder für 
zwei erfolgreiche und vor allem langle- 
bige Desktop-Familien verdient: Micro- 
soft Windows und Apple Macintosh. 
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Denn Steve Jobs begann 1979 mit 
der Entwicklung eines Systems, das die 
nächste PC-Generation begründete. Es 
sollte auf einem 16-Bit-Prozessor basie- 
ren, mit seiner Oberfläche neue Maßstä- 
be setzen und dabei nur 2000 Dollar 
kosten. Dafür suchte Jobs einen Partner 
und wurde fündig: Xerox investierte ei- 
ne Million Dollar in Apple-Aktien, und 
Jobs erhielt mit seinem Lisa-Team Ein- 
blick ins PARC. Bei den Bemühungen, 
das Xerox-Konzept auf die Lisa zu über- 
tragen, verlor das Team allerdings den 
Kostenaspekt völlig aus den Augen: 
Entgegen den ursprünglichen Plänen er- 
hielt Lisa nun eine Maus und einem Mo- 
nitor mit schwarz-weißer Bildröhre statt 
des grün-schwarzen Bildschirms. 

Doch erst im Mai 1983 lieferte Apple 
die erste Lisa aus — mit dem neuen, 
5 MHz schnellen Motorola 68000, 512 
oder 1024 KByte RAM, 32 KByte Vi- 
deo-RAM, einer 5-MByte-Platte, zwei 
5 1/4"-Floppy-Laufwerken, einem 12"- 
Schwarz-Weiß-Monitor mit 720 x 360 
Pixeln, zwei DB25-Ports, einem Cen- 
tronics-Port und drei internen Slots; 
Preis: etwa 10 000 US-Dollar. 

Die Konkurrenz, die auch dieses 
System zum Ladenhüter werden ließ, 
kam aus dem eigenen Haus: Denn aus- 
gerechnet bei der ersten Präsentation 


von Lisa im Januar 1983 berichtete 
Jobs vom nächsten System „Macin- 
tosh“, das über alle Fähigkeiten der Lisa 
verfügen, aber nur 2000 Dollar kosten 
sollte. Konsequenterweise taufte Apple 
die im Januar 1984 ausgelieferte Lisa Il 
1985 in Macintosh XL um. Nachdem 
bis 1986 insgesamt 100 000 Lisas ver- 
kauft waren, ließ Apple die letzten 2700 
auf einem Acker in Utah unterpflügen, 
um sie von der Steuer abzuschreiben. 

Als Apple die Lisa bereits ein halbes 
Jahr lang auslieferte, kündigte Microsoft 
einen schlanken DOS-Aufsatz an: „Mi- 
crosoft Windows essentially treats the 
computer screen as a ‚desk-top’ with ap- 
plication windows neatly arranged in lo- 
gical fashion.“ Dabei verschwieg Micro- 
soft auch nicht die Anleihe beim Xerox 
Star: „Microsoft Windows is an out- 
growth of a concept that was originally 
developed by Xerox for use on the Star.“ 
Doch auch diese Oberfläche hatte ihre 
Anlaufschwierigkeiten: Statt Anfang 
1984 kam Windows erst im November 
1985 auf den Markt. Bis zur Version 3.0 
war es ein reines Verlustgeschäft. 


Totgesagte leben länger 


Ebenfalls im Mai 1983 begann IBM zu- 
sammen mit Microsoft, OS/2 unter dem 
Motto „Better DOS than DOS“ zu ent- 
wickeln. Wirklich eingelöst und gleich- 
zeitig verworfen hat Big Blue das Ver- 
sprechen knapp zehn Jahre später: 1992 
hatte die von IBM allein weiterent- 
wickelte 32-Bit-Version OS/2 2.0 nichts 
mehr mit DOS zu tun. Obwohl der Ver- 
kauf seit 23. 12. 2005 und der Support 
seit 31. 12. 2006 eingestellt ist, verkauft 
IBM noch heute in Ausnahmefällen 
Lizenzen für Spezialanwendungen. 
Dass der 25. Geburtstag dennoch kei- 
ne Trauerveranstaltung wird, ist der 
Firma Serenity Systems zu verdanken. 
Sie lizenzierte 2000 OS/2, entwickelt 
es seit 2002 weiter und vertreibt es 
heute noch unter der Bezeichnung 
eComstation (ecomstation.com). 

Das jenseits der Microsoft-Welt 
wohl wichtigste Fenstersystem ist das 
X Window System, das gerade einmal 
ein Jahr nach Lisa das Licht der Welt 
erblickte: 1984 gründeten das MIT, 
DEC und IBM das Projekt Athena und 
gaben im Juni die erste X-Version frei. 
Die erste Release der heute noch ak- 
tuellen Version X11 folgte 1987. Zehn 
Jahre später mauserte sich die freie Im- 
plementierung XFree86 zum De-facto- 
Standard. Heute entwickelt die X.Org- 
Foundation sie weiter. (sun) X 
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REPORT 


Datensicherheit 


enngleich E-Mail den Spam- 
Massen zum Trotz ständig an 
Beliebtheit gewinnt, verläuft 


geschäftliche Kommunikation häufig 
nach wie vor auf dem klassischen Post- 
weg. Als Hauptgrund hierfür nennen 
die Unternehmen, dass die Vertraulich- 
keit der Informationen so sichergestellt 
sei. Viel lieber würden sie die geschäft- 
liche Kommunikation gänzlich auf 
elektronischem Wege abwickeln, denn 
das geht schnell, unkompliziert und 
spart vor allem Geld. 

Doch alte und neue Regularien wie 
der Sarbanes-Oxley Act (SOX), das 
Gesetz zur Kontrolle und Transparenz 
(KonTraG), aber auch das Aktiengesetz 
(AktG) oder das Bundesdatenschutz- 
gesetz (BDSG) beschreiben Anforde- 
rungen an die Sicherheit der Unterneh- 
menskommunikation, die den Einsatz 
von E-Mails im Klartext in vielen 
Fällen verbieten. Trotzdem erkennen 
längst nicht alle Unternehmen die Risi- 
ken der Kommunikation per unver- 
schlüsselter E-Mail. 

Ein wesentliches Kennzeichen von 
asymmetrischen Verschlüsselungsver- 
fahren wie PGP ist die Existenz eines 
Schlüsselpaares, das aus einem priva- 
ten und einem Öffentlichen Schlüssel 
besteht. Der private, geheime Schlüssel 
dient einerseits zum Entschlüsseln ver- 
schlüsselter Daten, andererseits zum 
Erstellen von Signaturen. Der öffentli- 
che Schlüssel hingegen kommt für das 
Verschlüsseln von Daten und das Über- 
prüfen von Signaturen zum Einsatz. 
Der private Schlüssel darf — wie der 
Name nahelegt — nur dem Besitzer zu- 
gänglich sein. Um das sicherzustellen, 
ist er in der Regel mit einem Passwort 
vor unbefugtem Zugriff geschützt. 


Trau keinem Dritten 


Dieses Verfahren führt allerdings in der 
Praxis zu einem erheblichen Aufwand: 
Woher weiß der Absender einer ver- 
schlüsselten E-Mail oder der Empfän- 
ger einer signierten E-Mail, dass der öf- 
fentliche Schlüssel, den er verwendet, 
wirklich dem eigentlichen Empfänger 
oder Absender der E-Mail gehört und 
nicht einem Unbefugten? 

Hier macht man sich zunutze, dass 
sich die verwendeten öffentlichen 
Schlüssel auch signieren lassen — was 
allerdings erst geschehen darf, nach- 
dem sich der Signierende auch von 
der Identität desjenigen überzeugt hat, 
der den Schlüssel ausgibt. Auf diese 
Weise lassen sich im Prinzip regelrechte 
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Sinn und Unsinn 
zentraler Verschlüsselungslösungen 


Schlüsselfreiheit 


Christoph Wegener 


Die vertrauliche Übermittlung von Daten und der Nachweis 
der Urheberschaft rücken bei digitalen Kommunikations- 
methoden wie E-Mail immer stärker in den Vordergrund. Viele 
liebäugeln mit zentralen Lösungen zur Integration der 


benötigten Verschlüsselungsverfahren, die das Nutzen von 
Verfahren wie PGP und $/MIME vereinfachen sollen. 
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REPORT 


Datensicherheit 


Vertrauensketten erstellen (Web of 
Trust). Wenn im Web of Trust nur ein 
Beteiligter zu nachlässig ist, fällt das 
Konstrukt jedoch in sich zusammen, wo- 
gegen es keinen einfachen Schutz gibt. 
Darüber hinaus ist auch das Verwal- 
ten der Schlüssel nicht trivial, beispiels- 
weise für den Fall, dass der private 
Schlüssel eines Benutzers in falsche 
Hände gerät. Sollte es überhaupt auffal- 
len, steht der Eigentümer vor der Auf- 
gabe, alle Kommunikationspartner über 
den Sachverhalt zu informieren, bevor 
Dritte Schaden anrichten können. Na- 
türlich gibt es Verfahren, einen Schlüs- 
sel zurückzurufen, die aber leider nicht 
konsequent umgesetzt sind. 


Von Authentifizieren 
bis Zertifikat 


Neben PGP und verwandten Verfahren 
lassen sich digitale Zertifikate zur Si- 
cherung der Kommunikation in puncto 
Vertraulichkeit und Integrität nutzen. 
Auch digitale Zertifikate beruhen aller- 
dings auf asymmetrischer Kryptografie 
mit privaten und öffentlichen Schlüs- 
seln. Der Unterschied gegenüber Tech- 
nologien wie PGP besteht darin, dass 
ein digitales Zertifikat die Authentizität 
einer Person bestätigen kann. Dazu 
existiert eine vertrauenswürdige In- 
stanz, die sogenannte „Certification 
Authority“ (CA), die das Zertifikat erst 
dann ausstellt und digital signiert, wenn 
eine als „Registration Authority“ (RA) 
bezeichnete Stelle (die häufig mit der 
CA vereint ist) die Authentizität des 
Beantragenden anhand von eindeutigen 
Merkmalen bestätigt hat. 

In der Praxis scheitert es jedoch oft 
schon am Prüfen dieser eindeutigen 
Merkmale. Zum Ausstellen von SSL- 
Zertifikaten reicht häufig gar die Angabe 
einer E-Mail-Adresse und einer Telefon- 
nummer, die dann per automatisiertem 
Rückruf die Identität des E-Mail-Emp- 
fängers sicherstellen soll. Sinnvoller und 
eigentlich auch erforderlich wäre das 
persönliche Erscheinen des Antragstel- 
lers und die Bestätigung seiner Identität 
und Legitimation durch Vorlegen offi- 
zieller Dokumente (etwa Personalaus- 
weis oder Reisepass) mit Foto. 

Das Verwalten der Zertifikate birgt 
prinzipiell die gleichen Tücken wie die 
asymmetrische Verschlüsselung: Auch 
hier gibt es eine sogenannte „Certifica- 
te Revocation List“ (CRL), deren kon- 
sequente Anwendung aber leider noch 
nicht gängige Praxis ist. Somit ist die 
Beurteilung der Integrität eines Zertifi- 
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kats für den normalen Anwender eine 
nicht einfach zu lösende Aufgabe. 

Erleichterung versprechen Verfahren, 
die einen zentralen Ansatz nutzen, der 
den beschriebenen Komplikationen der 
Verwaltung und Integrität der Schlüssel 
und Zertifikate begegnet. Sie verlagern 
den Vorgang der Ver- und Entschlüsse- 
lung zumeist auf ein Gateway, etwa das 
Mail-Gateway des Absenders. Dann 
müssen sich die Anwender nicht mehr 
einzeln um die Verwaltung der Schlüs- 
sel oder Zertifikate kümmern, denn die- 
se Aufgabe erledigt das System oder ein 
Administrator zentral. Ob eine E-Mail 
verschlüsselt werden soll, lässt sich in 
zentralen Regelsätzen auf Basis von 
Betreffzeile, Inhalt, Empfänger oder Ab- 
sender ermitteln. Einige Systeme bieten 
dem Anwender zudem zusätzlich die 
Möglichkeit einer Ende-zu-Ende-Ver- 
schlüsselung. 

Die Vorteile solcher Lösungen liegen 
auf der Hand: Sie entlasten den Anwen- 
der weitgehend von der Komplexität, 
die die Integration von Verschlüsse- 
lungsverfahren nicht nur im E-Mail- 
Verkehr so langwierig, kostspielig und 
auch fehleranfällig macht. Diese Aufga- 
be übernimmt nun der Administrator, 
der mit hoher Wahrscheinlichkeit den 
entsprechenden Sachverstand zur Lö- 
sung der diversen Probleme besitzt. 
Aufgrund des zentralistischen Ansatzes 
lassen sich auch Vorgaben, wann Daten 
zu verschlüsseln oder zu signieren sind, 
wesentlich einfacher umsetzen. Damit 
sind entsprechende Vorgaben nicht nur 
einfacher, sondern oft überhaupt erst 
nachweisbar zu erfüllen. Manchmal 
genügt es, dass eine Signatur nur die 
absendende Organisation, nicht aber 
die absendende Person nachweist. Das 
funktioniert mit ein wenig Technik 
auch ohne wesentliche Einschränkun- 
gen bezüglich der Sicherheit mit ei- 
nem zentral gestalteten Ansatz. 


Nicht besonders geheim 


Darüber hinaus reduzieren zentrale Sys- 
teme den Aufwand für das Verteilen 
und Konfigurieren von Client-Software 
auf die Anwender-PCs erheblich, wenn- 
gleich sie für Verfahren mit Ende-zu- 
Ende-Verschlüsselung weiterhin nötig 
ist. Entsprechende Ansätze, die einfache 
Browser-Plug-ins nutzen, vereinfachen 
den Vorgang weiter. Je nach Produkt 
kann der Nutzer per Browser seine 
Schlüssel erstellen und verwalten — was 
die grundsätzlichen Schwächen aber 
nicht behebt. 


Zum einen verletzen zentrale Syste- 
me das Prinzip, den privaten Schlüssel 
unbedingt geheim zu halten, in eklatan- 
ter Art und Weise, denn letztlich hat der 
Administrator des E-Mail-Gateways 
Zugriff darauf. Somit kann er - falls der 
Nutzer nicht zusätzlich eine Ende-zu- 
Ende-Verschlüsselung einsetzt — ver- 
schlüsselte E-Mails mit vertraulichem 
Inhalt unbemerkt entschlüsseln, falls 
hier nicht gesonderte Vorkehrungen ge- 
troffen werden. Zudem erweist man 
den Anwendern aus Sicht der „Aware- 
ness“ eventuell einen Bärendienst: Es 
stellt sich nämlich die Frage, wie man 
Nutzer zu einem vorsichtigen Umgang 
mit „geheim“ zu haltenden Daten (et- 
wa Passwörtern und Zugangsschlüs- 
seln) erziehen will, wenn man auf der 
anderen Seite ein Verfahren etabliert, 
in dem die „privaten“ Schlüssel gar 
nicht geheim sind. 

Zum anderen obliegt das Sicherstel- 
len von Authentizität und Integrität der 
Schlüssel nun einem Administrator. Das 
kann ein Vorteil sein, da es einen gere- 
gelten Prozess gibt, der das Überprüfen 
von Schlüsseln vereinfacht. Jedoch 
steigt der administrative Aufwand bei 
einer Vielzahl von Kommunikations- 
partnern erheblich. Hier können Public- 
Key-Infrastrukturen auf Zertifikatsba- 
sis helfen, da der Administrator dann 
„nur“ die Gültigkeit des Zertifikates 
überprüfen muss. Genau das birgt aber 
mögliche Fallstricke, denn gerade bei 
vielen Kommunikationspartnern in 
verschiedenen Institutionen ist es der- 
zeit nicht immer einfach, den Finger- 
abdruck der Zertifikate auf vertrau- 
enswürdigem, unabhängigem Wege zu 
bekommen. 

Einige Lösungen speichern die 
Schlüsselpaare zudem sogar auf einem 
Server, der nicht einmal im direkten Zu- 
griffsbereich des Anwenders oder seines 
Administrators steht, sondern der von 
einem Dritten gehostet wird. So ist die 
Integrität der Schlüssel nicht mehr gege- 
ben, und es stellt sich die Frage, was 
denn mit verschlüsselten Daten oder 
E-Mails passieren soll, wenn der Hos- 
ter dieses Servers einmal pleite geht. 
Wie kommt man dann noch an seine 
Daten? Wer bekommt in einem solchen 
Fall Zugriff auf die Schlüsselpaare? 
Gerade Unternehmen, aber auch Privat- 
personen sollten sehr vorsichtig sein, 
ob und wie sie einen solchen Service 
nutzen wollen. Zumindest ein auf ande- 
rem Wege verschlüsseltes, unabhängi- 
ges Backup der Daten empfiehlt sich, 
will man etwa erpresserischen Debat- 
ten aus dem Wege gehen. 
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Außerdem kann ein Administrator 
oder generell derjenige, in dessen Zu- 
griff sich der private Schlüssel befindet, 
auch im Namen des Nutzers signierte 
E-Mails verschicken — was mit erheb- 
lichen Konsequenzen verbunden sein 
kann. Das Abstreiten einer signierten 
E-Mail wird dem Betrogenen in aller 
Regel Schwierigkeiten bereiten, wenn- 
gleich die Sensibilisierung und das Ver- 
ständnis der Gerichte für den Ablauf 
solcher Betrugsfälle in letzter Zeit — 
auch durch Trojaner im Onlinebanking 
— gestiegen sind. 

Gegen das Argument, der Adminis- 
trator habe eben einfach vertrauenswür- 
dig zu sein, spricht schon die Statistik. 
Sie zeigt immer wieder, dass gerade In- 
sider einen erheblichen Teil der Angriffe 
verüben. Besser wäre es in jedem Fall, 
entsprechende Sicherungs- und Proto- 
kollierungsmaßnahmen einzuführen, die 
den Anwender vor dem Missbrauch sei- 
ner Schlüssel schützen. Wie dies im Fal- 
le von gehosteten Angeboten realisiert 
werden soll, bleibt offen. Anwender 
sollten sich stets bewusst sein, dass es 
eine hundertprozentige Sicherheit nicht 
geben kann. 


Fazit 


Zentrale Lösungen zum Ver- und Ent- 
schlüsseln von E-Mails bieten eine Rei- 
he von Vorteilen. Sowohl für Anwen- 
der als auch für Administratoren 
erleichtern sie die Einführung und den 
Support. Zudem lassen sich Grund- 
regeln zur Verschlüsselung — auch für 
hartnäckige Krypto-Ignoranten unter 
den Anwendern — einfacher umsetzen, 
wenn es einen zentralen Punkt der 
Kontrolle gibt. Besser als gar nichts, 
könnte man denken, wirklich geheime 
Daten schützen derlei Verfahren allein 
aber nicht, denn gegen Innentäter sind 


sie wirkungslos. Wer denen einen Rie- 
gel vorschieben will, kommt um eine 
deutlich aufwendigere Ende-zu-Ende- 
Verschlüsselung nicht herum. Mit einer 
zentralen Signaturlösung ist zudem un- 
ter Umständen eine Reihe von Risiken 
verbunden, derer man sich bei der Inte- 
gration in die Geschäftsprozesse be- 
wusst sein sollte. (un) 
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Wiederverwendung 


Produktlinien in der industriellen Softwareentwicklung 


Gleichheit in 
Vielfalt 


Klaus Schmid 


Software ist ein entscheidender 
Wertschöpfungs- und Kostenfaktor 
in industriellen Produkten. Dies gilt sowohl für 


Informationssysteme als auch für eingebettete 
Systeme wie Anlagensteuerungen oder 
Automobilkomponenten. Systematische 
Produktlinienentwicklung hat sich als probates 
Mittel erwiesen, gleichzeitig Kosten und 


Fehlerzahl zu senken. 


fünfzehn Jahre hat sich der 

Einsatz von Produktlinien- 
ansätzen als wirksame Metho- 
de herauskristallisiert, um Op- 
timierungen bezüglich Kosten 
und Qualität bei der industriel- 
len Softwareentwicklung zu 
erreichen. Die dabei erzielten 
Erfolge sind beachtlich. So 
berichten verschiedene Unter- 
nehmen von Kostenreduktio- 
nen um 90 %, einer deutlich 
erhöhten Qualität (circa 50 % 
weniger Fehler) sowie dras- 
tisch reduzierten Wartungs- 
kosten [2]. 

Begründet ist dies zum ei- 
nen durch den Übergang von 
der Entwicklung einzelner 


' m Verlauf der letzten zehn, 
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Anwendungen zu einer ge- 
meinsamen Betrachtung einer 
Menge von Systemen, zum 
anderen durch die Entwick- 
lung von Komponenten, die in 
einer Vielzahl von Systemen 
verwendet werden können. 
Damit ist aber zugleich eine 
wesentliche Einschränkung 
dieses Ansatzes gegeben: Er 
ist nur anwendbar, wenn eine 
Entwicklungsorganisation im- 
mer wieder ähnliche Software 
entwickelt. Bei näherem Hin- 
sehen ist dies aber keine we- 
sentliche Einschränkung, da 
Entwicklungsabteilungen und 
Firmen praktisch immer auf 
die eine oder andere Art spe- 
zialisiert sind. 


Unter dieser Voraussetzung 
hat sich der Produktlinienan- 
satz als zielführend erwiesen. 
Er kam sowohl in kleinen als 
auch in großen Unternehmen 
zum Einsatz, bei Entwickler- 
mannschaften zwischen fünf 
und mehr als tausend Perso- 
nen. Auch in diversen Anwen- 
dungsbereichen wurde er be- 
reits umgesetzt, das Spektrum 
reicht von der Automobilin- 
dustrie und Medizintechnik 
bis hin zu Finanzinformations- 
systemen [3]. 


Grundlagen der 
Produktlinien 


Dabei unterscheidet sich Pro- 
duktlinienentwicklung von 
den — meist wenig erfolgrei- 
chen — Ansätzen zur Soft- 
warewiederverwendung in ei- 
nigen wichtigen Punkten. 
Ausgehend von einigen 
Einzelfällen — vor allem aus 


den frühen 90ern — wurde im 
Verlauf der letzten zehn Jahre 
systematisch herausgearbeitet, 
was bei der Produktlinienent- 
wicklung wichtig ist. Es gibt 
kleine Unterschiede in der 
Darstellung, doch letztendlich 
kann man sie wie folgt zu- 
sammenfassen: 
Geschäftsorientierung: Die 
Entwicklung der Produktlinie 
ist wesentlich durch die Ge- 
schäftsstrategie des Unterneh- 
mens und die vom Unterneh- 
men konkret zu entwickelnden 
Produkte getrieben. 
Variantenmanagement: Der 
Übergang von einer Einzel- 
systemsicht auf eine übergrei- 
fende Produktliniensicht rückt 
die Unterschiede zwischen 
Systemen in den Mittelpunkt. 
Architekturzentrierte Ent- 
wicklung: Die technische Basis 
ist zwar nicht die einzige, 
aber eine sehr wichtige Grund- 
lage für eine Produktlinien- 
entwicklung. Dabei geht es 
insbesondere darum, eine ein- 
heitliche Architektur und Platt- 
form zu schaffen, die für die 
aktuellen wie für die zukünf- 
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tigen Produkte eine geeignete 
Basis bildet. 

Produkt- vs. Produktlinien- 
entwicklung: Eine klare kon- 
zeptionelle Trennung zwischen 
der Entwicklung von Kompo- 
nenten, die für die Wiederver- 
wendung über eine Menge von 
Produkten hinweg bestimmt 
sind, und der von Einzelpro- 
dukten. (Dies ist nicht immer, 
aber oft mit einer organisatori- 
schen Trennung verbunden.) 

Damit ergibt sich, dass 
Produktlinienentwicklung ein 
notwendig ganzheitlicher Ent- 
wicklungsansatz ist: Das Ver- 
fahren betrifft technische, me- 
thodische und organisatorische 
Aspekte ebenso wie die Ge- 
schäftsstrategie des Unterneh- 
mens. Rein technikgetriebene 
Ansätze sind hingegen selten 
erfolgreich. 

Prinzipiell werden bei der 
Produktlinienentwicklung zwei 
verschiedene Lebenszyklen 
unterschieden: die Applika- 
tionsentwicklung, verantwort- 
lich für die Erstellung der 
eigentlichen Produkte, und die 
Domänenentwicklung, zustän- 
dig für den Bau der wieder- 
verwendbaren Artefakte. Auf 
dieser Basis werden anschlie- 
ßend im Rahmen der Appli- 
kationsentwicklung die ein- 
zelnen Produkte entwickelt 
(siehe Abbildung 1). 


Am Anfang 
steht das Scoping 


Meist ist auch mithilfe der 
wiederverwendbaren Artefak- 
te noch die Entwicklung zu- 
sätzlicher Produktbestandteile 
als Spezialanfertigung notwen- 
dig. Es müssen dabei nicht alle 
wiederverwendbaren Artefak- 
te zwingend in allen Produk- 
ten genutzt werden, sondern 
sie sind relativ frei integrier- 
bar — quasi Plug and Play auf 
Softwareebene. 

Das sogenannte Scoping, 
die Planung, welche Bestand- 
teile wiederverwendbar zu im- 
plementieren sind und welche 
nicht, ist ein wesentlicher Be- 
standteil der Entwicklung. 
Entscheidend ist, tunlichst nur 
solche Funktionen wiederver- 
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Die Produktlinienentwicklung besteht aus zwei verschiedenen Prozessen: der 
Domänenentwicklung und der Applikationsentwicklung (Abb. 1). 


wendbar zu machen, die spä- 
ter auch noch einmal zum Ein- 
satz kommen. Denn sonst 
steckt man unnötige Investi- 
tionen in die Wiederverwen- 
dung. Andererseits muss man 
das vorhandene Wiederver- 
wendungspotenzial ausnutzen, 
um einen möglichst hohen Re- 
turn on Investment (ROI) zu 
erzielen. Das dafür verant- 
wortliche Management muss 
übergreifend die gesamte Pro- 
duktlinie im Blick haben und 
dabei die Anforderungen, die 
in die Applikationsentwick- 
lung einfließen, von solchen 
abgrenzen, die direkt in die 
Domänenentwicklung einge- 
hen. Dieser Prozess muss auch 
kontinuierlich im Falle von 
Anforderungsänderungen oder 
neuen Produkten durchgeführt 
werden. 

Was die konkreten Resul- 
tate einer Produktlinie angeht, 
gibt es mittlerweile sehr viele 
gut dokumentierte, auch pro- 


minente Beispiele [3]. Eines 
ist die Produktlinie „i* Pro- 
ductLine“ der Market Maker 
Software AG. Die Software 
gibt es in einer Vielzahl von 
Varianten. Zwei Beispiele 
sind Arbeitsplatzsysteme für 
einen Wertpapierberater in ei- 
ner Bank und als Spezialsys- 
tem für Metallhändler (siehe 
Abbildung 2 und 3). In dieser 
Produktlinie sind sehr große 
Gemeinsamkeiten in der Im- 
plementierung der Funktions- 
bestandteile vorhanden, je- 
doch sind die Oberflächen 
deutlich verschieden. 

Ein weiteres Beispiel für 
eine Produktlinie liegt mit 
dem Warenwirtschaftssystem 
der Firma Maxess Systemhaus 
GmbG vor. Auch diese gibt es 
in einer Vielzahl von Varian- 
ten. Die Überlappungen zwi- 
schen den beiden Anwendun- 
gen erstrecken sich über alle 
Bereiche bis hinein in die Be- 
nutzeroberfläche, wie Screen- 


Entwicklung hinweg. 


strategie verzahnt. 


A-TRACT 


© In der industriellen Softwareproduktion wurde durch 
Produktlinienentwicklung nicht nur Zeit gespart, sondern 
auch die Qualität verbessert. 


© Das A und O der Produktlinienentwicklung ist das 
systematische Management von Unterschieden zwischen 
Produkten [Variantenmanagement] über die komplette 


@ Die Entwicklung wiederverwendbarer Komponenten in 
der Produktlinienentwicklung ist eng mit der Unternehmens- 
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shots der Auftragserfassung 
am Beispiel der Varianten für 
den Lebensmittelhandel und 
den technischen Handel zei- 
gen (Abb. 4 und 5). 


Wiederverwendung 
als Basis 


Produktlinienentwicklung ba- 
siert letztendlich auf der 
Grundidee der Software- 
wiederverwendung. Oder ge- 
nauer: der Softwareverwen- 
dung über eine Menge von 
Produkten hinweg. Traditio- 
nelle Wiederverwendungsan- 
sätze beruhen entweder auf 
dem Versuch, Komponenten 
oder Dokumente aus früheren 
Projekten wiederzuverwenden 
oder darauf, abstrakt „generi- 
sche“ Komponenten zu ent- 
wickeln. Im Gegensatz dazu 
werden in einer Produktlinie 
mehrfach verwendbare Kom- 
ponenten zielgerichtet auf ein 
Produktportfolio unter vorher- 
sehbaren technischen Rahmen- 
bedingungen entwickelt. 

Eine Grundlage dafür bil- 
det die Produkt-Roadmap. 
Somit ist zunächst das Ma- 
nagement gefordert, eine hin- 
reichend ausformulierte Stra- 
tegie beziehungsweise ein 
Produktportfolio zu definie- 
ren. Basierend darauf wird 
eine Domänenanalyse durch- 
geführt. Diese beschreibt nicht 
nur mögliche Produkte und 
Produktanforderungen, son- 
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Wiederverwendung 


dern detailliert auch mögli- 
che Unterschiede zwischen 
Produkten sowie Abhängig- 
keiten zwischen variablen 
Anforderungen. 


Knackpunkt 
Varianten 


Im Laufe der Zeit wird sich 
dieser Zeitplan natürlich ver- 
ändern und weiterentwickeln, 
wichtig ist jedoch, eine kon- 
krete Vision der Produkte 
und der notwendigen Varia- 
bilität zu entwickeln und 
kontinuierlich fortzuschrei- 
ben. Dies funktioniert nur, 
wenn man dafür entsprechen- 
de Rollen und Verantwortlich- 
keiten schafft. Dazu gehört 
insbesondere ein produktli- 
nienweites Change Control 
Board (CCB), das für die Ko- 
ordinierung und Einordnung 
von Änderungen über die 


Wr 
RB 
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Produktlinie hinweg verant- 
wortlich ist. Insbesondere muss 
es entscheiden, welche Ände- 
rungen wiederverwendbar und 
welche produktspezifisch zu 
realisieren sind. 

Der Übergang von der Ent- 
wicklung einzelner Systeme zu 
einer integrierten Entwicklung 
einer Reihe von Systemen 
führt zur Notwendigkeit des 
Variantenmanagements. Das 
heißt, es ist für die Entwick- 
lung einer Produktlinie ent- 
scheidend, einen Überblick 
darüber zu haben, 

— welche Anforderungen für 
alle Systeme gelten (Gemein- 
samkeiten), 

— welche Anforderungen nur 
für einen Teil der Produkte, 
aber nicht für alle relevant 
sind (Variabilitäten) und 

— welche Anforderungen nur 
für bestimmte Produkte rele- 
vant sind (produktspezifische 
Anforderungen). 
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Verschiedene Varianten aus der gleichen Produktlinie von 
Online-Finanzinformationssystemen: oben Wertpapier- 
berater, unten Metallhändler (Abb. 2, 3) 
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Neben den Anforderungen 
gilt dies prinzipiell für alle Ar- 
ten von Entwicklungsartefak- 
ten. So ist beispielsweise in 
Bezug auf den Code relevant, 
welche Teile in allen, welche 
in manchen und welche nur in 
einigen wenigen Produkten be- 
nötigt werden. 

Das Variantenmanagement 
hat einerseits eine organisato- 
rische, andererseits eine tech- 
nische Dimension. Organisa- 
torisch ist vor allem wichtig, 
dass diese Analyse überhaupt 
stattfindet. Für Organisationen, 
die bereits Produkte entwickelt 
haben, bedeutet dies, innerhalb 
der Organisation einen kom- 
pletten Überblick über die 
Produkte, die von ihnen unter- 
stützten Anforderungen sowie 
die damit zusammenhängen- 
den Entwicklungsartefakte zu 
schaffen. 

Für Organisationen, die 
neu mit einer Entwicklung 
starten wollen, ist dies inso- 
fern einfacher, als sie nur eine 
entsprechende Übersicht über 
die geplanten Produkte erstel- 
len müssen. 

Erfahrungsgemäß ist eine 
der größten Herausforderun- 
gen bei diesem Schritt, dass 
er überhaupt stattfindet. Meist 
wird er als unproduktiv emp- 
funden, da er keinen direkten 
Mehrwert bringt. Jedoch ist 
er von wesentlicher Bedeu- 
tung für die weiteren Schritte. 
Gerade in kleinen Organisa- 
tionen, in denen das Entwick- 
lerteam die verschiedenen Pro- 
dukte bereits gut kennt, ist die 
Illusion naheliegend, dieser 
Schritt sei überflüssig. Jedoch 
ist er auch dort notwendig, 
wenngleich wesentlich einfa- 
cher und weniger aufwendig. 

In der täglichen Entwick- 
lungsarbeit ist wichtig, dass ei- 
ne klare konzeptionelle Tren- 
nung von Entwicklung mit 
Wiederverwendung und Ent- 
wicklung für Wiederverwen- 
dung stattfindet. Das heißt 
nicht, dass verschiedene Perso- 
nen oder gar Abteilungen dafür 
verantwortlich sind, sondern 
vielmehr, dass jeder Person, 
die in eine Entwicklung oder 
Änderung einbezogen ist, klar 
ist, ob es gerade um weitere 


Wiederverwendung geht oder 
um eine spezifische Produkt- 
entwicklung. 


Mit oder für 
Wiederverwendung 


Alle Informationen für wieder- 
verwendbare Artefakte sollten 
in integrierter Weise dargestellt 
werden. Die Entwicklungsar- 
tefakte (etwa Anforderungen) 
für ein spezifisches System 
werden damit zu einer Projek- 
tion des allgemeinen Entwick- 
lungsartefakts. Ein Problem 
ist jedoch, dass marktgängige 
Software-Entwicklungswerk- 
zeuge die Variantenmodellie- 
rung bisher kaum unterstüt- 
zen. Es gibt zurzeit nur 
einige wenige Hersteller, die 
Werkzeuge für das Varian- 
tenmanagement zur Verfü- 
gung stellen (siehe Textkas- 
ten „Werkzeuge“). 

So verwenden die meisten 
Unternehmen zurzeit einfache 
Ersatzlösungen, die jedoch 
ausreichend sein können, zu- 
mindest für wenige Varianten 
oder eine kleine Entwick- 
lungsmannschaft. Meist wer- 
den etablierte Werkzeuge in 
spezifisch angepasster Weise 
oder selbstentwickelte Werk- 
zeuganpassungen genutzt. 

Der Kern des Varianten- 
managements ist immer der 
Gleiche: ein Entwicklungsar- 
tefakt wird in seine Bestand- 
teile zerlegt, die Gemeinsam- 
keiten, Variabilitäten und 
produktspezifische Aspekte 
darstellen. Dazu gibt es eine 
Beschreibung, welche Varia- 
bilitäten und welche produkt- 
spezifischen Bestandteile für 
jedes Produkt relevant sind. 
Konkrete Ausprägungen von 
Variantenbildungsansätzen kön- 
nen sich deutlich voneinander 
unterscheiden, abhängig vor 
allem von der Größe der Ent- 
wicklungsteams, der Zahl der 
zu unterstützenden Produkte 
sowie Restriktionen der ver- 
wendeten Werkzeuge. Insbe- 
sondere ist bei einer großen 
Zahl von Produkten eine Tren- 
nung der produktspezifischen 
Anteile und der Beschrei- 
bung der Produktrelevanz 
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Verschiedene Varianten aus der Auftragserfassung: oben 
technischer Handel, unten Lebensmittelhandel (Abb, 4, 5) 


von den eigentlich wieder- 
verwendbaren Anteilen von 
Bedeutung. 

Wichtig beim Variantenma- 
nagement ist vor allem, dass 
die Variation auf grundlegende 
Konzepte zurückgeführt wird 
und nicht nur auf bestimmte 
Kunden oder Aufträge. Bei 
der erwähnten Unterscheidung 
zwischen technischem und 
Lebensmittelhandel etwa war 
es wichtig, die Trennung an 
der Branche — und damit zu- 
sammenhängenden Entschei- 
dungen - festzumachen (bei- 
spielsweise werden im Editor 
für den technischen Handel ein 
Vorschaubild und weitere Er- 
läuterungen gezeigt) und nicht 
an den spezifischen Ausprä- 
gungen (Produkt für die XYZ- 
Auto GmbH). 

Dies ist auch der zentrale 
Unterschied zu klassischen An- 
sätzen zur Entwicklung „gene- 
rischer“ Komponenten: Eine 
Verallgemeinerung wird nur 
eingeführt, wenn die Produkte 
sie tatsächlich benötigen oder 
wenn sie sich aufgrund der 
strategischen Produktplanung 
ergibt. Dies vermeidet, dass 
Aufwand auf Verallgemeine- 
rungen verschwendet wird, die 
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man nie benötigt — ein Aspekt, 
der entscheidend für das Re- 
turn on Investment einer Pro- 
duktlinienentwicklung ist. (Die 
klassischen Prinzipien modula- 
rer Entwicklung sollten natür- 
lich nach wie vor berücksich- 
tigt werden.) 


Nicht ziellos 
entwickeln 


Im Rahmen einer Produkt- 
linienentwicklung erfährt die 
Beschreibung der Softwareent- 
wicklung durch Dokumente 


Forwardkurse 
Unternehmenskennzahlen = 
währungsbereinigte Preise 
Fondsstrukturdiagramm 


Kurstabellen = True 


beziehungsweise Modelle eine 
Erweiterung gegenüber den 
Einzelsystemen. Hinzu kommt 
als Grundlage des Variabilitäts- 
managements eine Varianten- 
beschreibung der Produktlinie. 
Dafür wurden verschiedene 
Ansätze entwickelt. 

Der vielleicht einfachste 
und bekannteste Ansatz ist 
die sogenannte Featuremo- 
dellierung, die Beschreibung 
der wesentlichen Eigenschaf- 
ten von Systemen durch Fea- 
tures. Die Definition neuer 
Systeme geschieht dann durch 
Auswahl der entsprechenden 
Features. 

Eine etwas andere Sicht- 
weise wird bei der Entschei- 
dungsmodellierung (decision 
modelling) eingenommen. Hier 
stehen die wesentlichen Ent- 
scheidungen im Mittelpunkt, 
die im Rahmen der Produktent- 
wicklung zu treffen sind, um 
von der allgemeinen Produkt- 
linie zu den spezifischen Pro- 
dukten zu kommen. 

Oben war die Produktlinie 
der Finanzinformationssys- 
teme erwähnt. Um diese hier 
als Beispiel verwenden zu 
können, muss sie allerdings 
drastisch vereinfacht werden. 
Ein stark vereinfachtes Mo- 
dell stellt die Tabelle unten 
dar. Nur die wesentlichen 
Entscheidungen sind aufge- 
führt (hier nur ausgewählte 
Beispiele), um die jeweiligen 
Produkte zu definieren. 

So werden im Metallge- 
schäft Forward-Kurse (Kurse 
für einen Verkauf in der Zu- 
kunft) genutzt, andererseits 


]-Monat, 3-Monat, 6-Monat = 
Forward # { } => Unternehmenskennzahlen = { } 
True, False = 
Fonds in Wertpapierarten True, False 


Cashflow, GuV, Bilanz, Segmente 


spielen beispielsweise bei Ak- 
tien verschiedene Daten wie 
Unternehmenskennzahlen oder 
Analysten-Ratings eine Rolle. 
Im Falle eines Fonds ist es bei- 
spielsweise hilfreich, seine 
Struktur in Form eines Dia- 
gramms darzustellen. Ein Ent- 
scheidungsmodell, wie stark 
vereinfacht in der Tabelle dar- 
gestellt, fasst nun diese Aspek- 
te zusammen. 


Referenz- 
architekturen 


Ein weiteres Prinzip der Pro- 
duktlinienentwicklung ist die 
Architekturzentrierung. Eine 
Softwarearchitektur legt die 
Struktur eines Softwaresys- 
tems und damit seine Kom- 
ponenten sowie deren Zu- 
sammenspiel fest. Bekannte 
Beispiele für eine Softwarear- 
chitektur sind etwa die Client- 
Server- oder die Schichtenar- 
chitektur. Eine Beschreibung 
wie „Client-Server“ reicht je- 
doch nicht, meist sind ein bis 
zwei weitere Detaillierungs- 
ebenen für eine hinreichende 
Beschreibung nötig. 

Warum ist gerade die Ar- 
chitektur so wichtig für eine 
Produktlinie, viel wichtiger 
noch als für ein Einzelsys- 
tem? Ein Blick darauf, wie 
unterschiedlich die Variabi- 
lität einer Produktlinie auf 
eine Architektur abgebildet 
werden kann, erklärt den Zu- 
sammenhang. 

Der einfachste Fall ist, dass 
prinzipiell ähnliche Funktionen 


Entscheidung benennt die Entscheidung (kann wie eine Variablendeklaration gelesen werden). 


Relevanz beschreibt, ob die jeweilige Entscheidung überhaupt für ein Produkt sinnvoll ist. So ist ein Fondsstrukturdiagramm 
nur dann möglich, wenn überhaupt Fonds als Wertpapierart aufgeführt sind. (Dabei ist Wertpapierart eine weitere, nicht 
aufgeführte Entscheidung.) 

Wertebereich gibt an, welche möglichen Werte die Entscheidung annehmen kann. Dabei kann eine Entscheidung auch 
eine Menge von Werten annehmen, beispielsweise ist „Unternehmenskennzahlen = {Cashflow, GuV }” möglich. 
‚Abhängigkeiten beschreiben Zusammenhänge zwischen den Werten der einzelnen Variablen. Die Definition dieser Ent- 
scheidungen kann dann wiederum genutzt werden, um die Variation in verschiedenen Softwareentwicklungsartefakten 
(beispielsweise Anforderungsdokumente) geeignet zu beschreiben. 
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Wiederverwendung 


auf verschiedene Weisen rea- 
lisiert werden können. Man 
denke hier beispielsweise an 
Komponenten zum Benutzer- 
management, die technisch 
durch verschiedene Alternati- 
ven umgesetzt sein können 
(etwa LDAP vs. lokal). 

Dies kann man architekto- 
nisch durch den Austausch 
von Komponenten erreichen, 
muss dann aber sicherstellen, 
dass die Komponenten sich 
gegenüber dem Rest des Sys- 
tems weitgehend identisch 
verhalten. Dies wiederum er- 
fordert ein genaues Verständ- 
nis (und eine Festlegung) des 
Zusammenspiels zwischen Ar- 
chitektur und Umgebung. Da 
die Produktlinienarchitektur 
in diesem Sinne nicht fix ist 
wie die Architektur eines 
Einzelsystems, sondern noch 
Variabilität enthält, spricht 
man auch von einer Refe- 
renzarchitektur. 


Umsetzung von 


Vielfalt 


Eine weitere Möglichkeit, Va- 
riabilität auf architektonischer 
Ebene zu realisieren, ist bei- 
spielsweise, eine Funktion für 
optional zu erklären (sie kann 
vorhanden sein oder nicht) 
oder sogar aus einer Menge 
gleichartiger Funktionen eine 
Teilmenge wählbar zu ma- 
chen. Ein typisches Beispiel 
wäre eine Menge von Dru- 
ckertreibern, aus denen be- 
stimmte ausgewählt werden. 
Ein einfacher Mechanismus, 
um hier die notwendige Flexi- 
bilität auf Architekturebene 
zu erreichen, wird beispiels- 
weise durch den Publish-Sub- 
scribe-Ansatz erreicht. Insge- 
samt definiert die Architektur 
der Produktlinie in Kombina- 
tion mit den explizit definier- 
ten Variationsmöglichkeiten 
die Referenzarchitektur der 
Produktlinie. 

Die Variation zwischen 
den einzelnen Produkten lässt 
sich nun in verschiedenster 
Weise realisieren. Vor allem 
der Zeitpunkt der Umsetzung 
der Variation spielt für die 
Auswahl geeigneter Mecha- 
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nismen eine zentrale Rolle. 
Man spricht dabei vom Bin- 
dungszeitpunkt. Typische Bin- 
dungszeitpunkte sind: 

Konfigurationszeit: Beim 
Auschecken einer Produkt- 
variante eines Konfigura- 
tionsmanagementsystems wird 
Variation bereits insofern be- 
rücksichtigt, als dass nur die 
Komponenten sichtbar wer- 
den, die für die Produktvari- 
ante relevant sind. 

Übersetzungszeit: Beim 
Übersetzen des Systems wird 
Variation in das System inte- 
griert. Dies kann auch durch 
Präprozessoren (etwa einen 
C-Präprozessor) oder aspekt- 
orientierte Ansätze (wie As- 
pectJ) geschehen. 

Initialisierungszeit: Man be- 
stimmt die konkreten Kompo- 
nenten, die zu einem System 
gehören, während des Ap- 
plikationsstarts (etwa mithil- 
fe von Konfigurationsdatei- 
en) und integriert sie dann 
dynamisch. 

Abhängig vom Entwick- 
lungskontext werden meist 
ein oder zwei Bindungszeit- 
punkte und die dazugehörigen 
Mechanismen festgelegt. Bei- 
spielsweise könnte man sich 
in einem Kontext mit Java- 
Server-Entwicklung dazu ent- 
schließen, einerseits wesentli- 
che Anpassungen auf der 
Ebene des Konfigurationsma- 
nagements abzuhandeln und 
andererseits feingranulare Va- 
riabilitäten auf der Ebene von 
Konfigurationsdateien und Dy- 
namic Class Loading zu be- 
handeln. 

Im Kontext einer perform- 
ancekritischen C-Entwicklung 
wiederum ist es sinnvoll, Me- 
chanismen zu nutzen, die kei- 
ne Auswirkung auf die Lauf- 
zeit haben. Hier bietet sich 
daher beispielsweise die Nut- 
zung des C-Präprozessors an. 
Dabei ist jedoch wichtig, wie 
dieses Werkzeug genutzt wird; 
das heißt, ein systematisches 
Variantenmanagement muss 
die Grundlage bilden. 

Entscheidend für ein er- 
folgreiches Variantenmanage- 
ment ist, dass Variation 
durchgehend von der Analy- 
se bis zur Implementierung 


gemanagt wird. Zudem darf 
die Nutzung eines Werkzeugs 
wie des Präprozessors nicht 
dazu führen, dass über das ge- 
samte System verteilt einzelne 
Code-Zeilen variabel werden. 
Dies wiederum erfordert ein 
Design, das variable Elemen- 
te konzentriert und einfach in- 
tegrierbar macht. 


Fazit 


Die Entwicklung von Soft- 
wareproduktlinien ist ein mo- 
derner Ansatz zur effizienten 
Entwicklung einer Menge 
miteinander verwandter Soft- 
waresysteme. Der Ansatz be- 
ruht nicht nur auf Prinzipien 
moderner Softwareentwick- 
lung wie der Architekturzen- 
trierung, sondern ist auch offen 
für verschiedene Software- 
Implementierungstechniken, 
etwa Aspektorientierung. Der 
Ansatz erfordert von einem 
Unternehmen aber nicht nur 
technische Kompetenz, son- 
dern auch eine enge Integra- 
tion der Geschäftsstrategie in 
die Gesamtentwicklung. 

Produktlinienentwicklung 
wurde weltweit bereits viel- 
fach erfolgreich verwendet, 
dabei geschah dies in sehr 
verschiedenartigen Entwick- 
lungsorganisationen. Bei ei- 
ner erfolgreichen Einführung 
berichten die Akteure von 
drastischen Verbesserungen 
in Bezug auf Entwicklungs- 
dauer und -kosten (Reduk- 
tion bis auf ein Zehntel) so- 
wie Qualität (Halbierung der 
Fehler). 

Vor allem die große Flexi- 
bilität in der Ausführung des 
Ansatzes ist einerseits verant- 
wortlich für die Anwendbar- 
keit, andererseits erfordert sie 


eine systematische Anpas- 
sung an die Unternehmensbe- 
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pure::variants [www.pure-systems.com] ist ein Werkzeug zur feature- 


basierten Konfiguration von Produkten. 


Gears (www.biglever.com) setzt hauptsächlich auf dem Konfigurations- 


management auf. 


Metaedit (vww.metacase.com) basiert auf der Nutzung von domänen- 


spezifischen Sprachen. 
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Datenspionage 


an stelle sich folgen- 
des Szenario vor: 
Ein Mitarbeiter der 


Firma XY arbeitet noch spät- 
abends an der Präsentation 
wichtiger Geschäftszahlen, die 
am nächsten Morgen fertig 
sein müssen. Alle anderen Bü- 
ros sind dunkel, er wähnt sich 
allein. Doch er ist nicht der 
einzige, der noch aktiv ist. Im 
Haus gegenüber, in einem leer 
stehenden Büro und im Schutz 
der Dunkelheit nicht zu sehen, 
steht eine Gestalt neben einem 
Teleskop. 

Da der Mitarbeiter häufig 
mit sensiblen Daten arbeitet, 
hat er seinen Monitor so auf- 
gestellt, dass er von draußen 
nicht zu lesen ist, obwohl er 
im fünften Stock sitzt. Die Tür 
ist aus Milchglas und somit 
undurchsichtig. Er fühlt sich 
unbeobachtet. 


Gefahr auch 
ohne direkte Sicht 


Was er nicht weiß: Der Mann 
im Büro gegenüber benötigt 
keine direkte Sicht auf den 
Monitor, um die Präsentation 
zu lesen. Er hält Ausschau 
nach Reflexionen des Moni- 
tors in Gegenständen wie Tee- 
kannen, Tassen oder Flaschen. 
Auch im vorliegenden Fall 
wird er fündig: Der Monitor 
spiegelt sich in der Teekanne. 
Noch schlimmer allerdings 
wäre es gewesen, wenn der 
Mitarbeiter Brillenträger wäre 
— darin spiegelt sich der Mo- 
nitor noch besser. 

Es mag auf den ersten Blick 
kaum überraschen, dass sich 
Dinge in gläsernen Oberflä- 
chen spiegeln. Allerdings war 
man sich der daraus resultie- 
renden Probleme im Umgang 
mit sensiblen Daten bisher 
nicht ausreichend bewusst. Ein 
Grund dafür könnte die gerin- 
ge Größe der Reflexion sein: 
Ein normaler Monitor wird mit 
einer Größe von etwa | cm in 
der Kanne gespiegelt. Mit einer 
normalen Kamera und auch 
mit einem guten Teleobjektiv 
ist selbst aus relativ kleinen 
Entfernungen kaum etwas zu 
erkennen. Die benötigten extre- 
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Verräterische Reflexionen: 
Wie Brillengläser Geheimnisse verraten 


Gespiegelt 


Michael Backes, Markus Dürmuth, 
Dominique Unruh 


TS 


Alleine in ihrem Büro wähnen Mitarbeiter eines Unternehmens in 

der Regel ihre Bildschirminhalte vor Ausspähung geschützt - zumal, 
wenn das Display dem Fenster abgekehrt ist. Doch Reflexionen in 
Einrichtungsgegenständen können der Spionage Vorschub leisten und 
vertrauliche Daten Unbefugten zugänglich machen. 


men Vergrößerungen sind nur 
mit etwas mehr Einsatz lesbar. 

Es erfordert dafür schon ein 
größeres Teleskop und eine gu- 
te Portion Fingerspitzengefühl. 
Komplementiert wird dies 
durch eine Spiegelreflexkame- 
ra und etwas Zubehör. Aus 10 
Metern Entfernung kann man 
mit dieser recht günstigen Aus- 
stattung (Teleskop für circa 


300 Euro, Spiegelreflexkamera 
für circa 600 Euro) bereits klei- 
ne Schriften lesen (Abb. 1). 
Mit teurerem Equipment las- 
sen sich ungleich bessere Re- 
sultate erreichen. 

Dies mag zunächst nach 
Science-Fiction klingen, je- 
doch sind verwandte Szena- 
rien sogenannter kompromit- 
tierender Abstrahlung bereits 


seit Längerem untersucht. Mi- 
litärische Einrichtungen sollen 
sich schon seit den 60er-Jah- 
ren mit elektromagnetischer 
Abstrahlung beschäftigen. Die 
ersten Öffentlich bekannten 
Resultate zu diesem Thema 
veröffentlichte Wim van Eck 
1985. Er zeigte, dass man aus 
der elektromagnetischen Ab- 
strahlung von Röhrenmonito- 
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Datenspionage 


ren und Fernsehern das dar- 
gestellte Bild rekonstruieren 
kann [1]. Doch ist dies nicht 
das einzige Signal, das sich 
auffangen lässt. Zahlreiche 
weitere Quellen haben For- 
scher seither untersucht, bei- 
spielsweise durch Monitor- 
kabel oder serielle Kabel. 

Die schlechte Nachricht da- 
bei ist, dass das Verschlüsseln 
der Daten diese Art von An- 
griffen nicht abwehren kann, 
da auf dem Bildschirm ange- 
zeigte Daten vom Menschen 
gelesen werden sollen. Die gu- 
te Nachricht ist hingegen, dass 
sich elektromagnetische Ab- 
strahlung gut abschirmen lässt, 
ohne den Benutzer übermäßig 
stark einzuschränken. Das lässt 
sich durch einen Faradayschen 
Käfig erreichen, also durch 
Ummanteln der betroffenen 
Räume beziehungsweise der 
betroffenen Geräte und Kabel 
durch Metallplatten, Folien 
und Netze. Das Bundesamt 
für Sicherheit in der Informa- 
tionstechnik (www .bsi.de) hat 
Mittel und Modelle entwi- 
ckelt, um diesen Angriffen zu 
begegnen. 


Andere Monitore, 
andere Gefahren 


Eine andere Form der opti- 
schen Abstrahlung untersuchte 
Markus Kuhn 2002 in Cam- 
bridge. Da das Bild eines Röh- 
renmonitors zeilenweise aufge- 
baut wird und der Leuchtstoff 
nur eine kurze Leuchtdauer 
besitzt (das ist auch der Grund 
für das Flackern von Röh- 
renmonitoren bei niedriger 
Bildwiederholfrequenz), lässt 
sich das Monitorbild aus dem 
Flackern des Raumes zurück- 
rechnen [2]. Für LCD-Monito- 
re oder andere Nicht-Röhren- 
monitore sind diese Ansätze 
jedoch nicht anwendbar. Da 
heutzutage in den meisten Bü- 
ros LCD-Monitore oder Lap- 
tops zum Einsatz kommen, hat 
diese Bedrohung an Relevanz 
verloren. 

Es stellt sich aber nun die 
Frage, ob auch LCD-Monitore 
ausgespäht werden können. 
Die Arbeit der Autoren [3] 
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zeigt, dass es möglich ist. Dies 
ist insbesondere deswegen pro- 
blematisch, weil sich optische 
Abstrahlung im Gegensatz zu 
elektromagnetischer kaum ab- 
schirmen lässt, ohne den Be- 
nutzer zu beeinträchtigen. 

Ein Blick in verschiedene 
Büros zeigt, dass sich auf den 
meisten Schreibtischen eine 
Vielzahl von reflektierenden 
Gegenständen befindet. Dazu 
gehören beispielsweise Tee- 
kannen, Gläser, Tassen und 
Löffel. Doch es kommt noch 
schlimmer: Selbst in den Au- 
gen des Benutzers sowie in 
dessen Brillengläsern reflek- 
tiert sich der Monitor. Dabei 
spielt es keine Rolle, ob die 
Brille entspiegelt ist oder nicht 
- in beiden Fällen sind gute 
Reflexionen erkennbar. 

Die Qualität der Reflexio- 
nen wird im Wesentlichen 
durch die Krümmung des spie- 
gelnden Gegenstandes und die 
Beschaffenheit seiner Oberflä- 
che bestimmt. Bei den meisten 
Teekannen sind die Reflexio- 
nen hervorragend, da diese so- 
wohl einen großen Durchmes- 
ser (ab circa 12 cm) als auch 
eine sehr glatte und gut re- 
flektierende Oberfläche (Glas 
oder Keramik) haben. Ent- 
sprechend gut sind die Refle- 
xionen. Ebenso bietet eine 
Vielzahl anderer Gegenstände 
vergleichbare Reflexionen, et- 
wa — abhängig von ihrer ge- 
nauen Form — Tassen und Glä- 
ser (sie haben ebenfalls eine 
sehr gut reflektierende Ober- 
fläche, aber einen etwas gerin- 
geren Durchmesser) oder Löf- 
fel, wobei hier bisweilen die 
Oberfläche zu zerkratzt ist. 


Gefahr durch 


Benutzerauge 


Während man versuchen kann, 
die genannten Gegenstände 
vom Schreibtisch oder besser 
aus dem gesamten Büro zu 
entfernen, ist dies für Brillen 
und Augen nicht möglich. Ins- 
besondere eine Brille bietet 
durch die geringe Krümmung 
und die glatte Oberfläche gro- 
ße und wenig verzerrte Bilder 
(Abb. 2). Entspiegelte Brillen 
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Schon mit einer Ausrüstung für rund 900 Euro kann man 
kleine Schriften auf eine größere Entfernung ohne 
Schwierigkeiten entziffern (Abb. 1). 


Besonders glatte Oberflächen mit geringer Krümmung 
ermöglichen hervorragende Reflexionen - auf Brillen, wie 
hier zu sehen, sogar, wenn diese entspiegelt sind (Abb. 2). 


beeinträchtigen die Qualität 
der Bilder nicht wesentlich: 
Die abgebildete Brille war ent- 
spiegelt. Deutlich anspruchs- 
voller, aber wissenschaftlich 
betrachtet auch spannender, 
sind die Reflexionen im Au- 
ge des Benutzers. 

Die gute Nachricht ist, 
dass die Reflexionen im Au- 
ge aufgrund seines geringen 
effektiven Durchmessers (cir- 
ca 16 mm) sehr lichtschwach 
sind. Man benötigt daher lan- 
ge Belichtungszeiten. Gleich- 
zeitig ist das Auge jedoch 


ständig in Bewegung, wodurch 
selbst bei Belichtungszeiten 
von weniger als einer Zehntel- 
Sekunde massive Verwischun- 
gen entstehen. Nichtsdestotrotz 
zeigt Abbildung 3, die unter 
idealen Bedingungen aufge- 
nommen wurde, dass das Au- 
ge prinzipiell gut reflektiert. 
Das ist nicht weiter verwun- 
derlich, da es dafür konzipiert 
ist, die Lichtstrahlen möglichst 
wenig zu streuen, und daher 
eine sehr glatte Oberfläche hat. 

Auch wenn es gegenwärtig 
noch nicht möglich erscheint, 
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Selbst das Auge liefert unter Idealbedingungen wie hier 
gute Reflexionen - ein Glück, dass diese unter weniger 
guten Bedingungen durch die schnellen Bewegungen und 
kurzen Belichtungszeiten stark verwischt sind (Abb. 3). 


die Reflexionen im Auge auf 
größere Entfernungen auszu- 
nutzen, so rechnen die Auto- 
ren damit, dass in näherer 
Zukunft durch Verwendung 
besserer Teleskope und algo- 
rithmische Nachbearbeitun- 
gen deutliche Verbesserun- 
gen erreichbar sind. 


Abwehrstrategien 
entwickeln 


Doch selbst bei gut reflektie- 
renden Gegenständen ist nicht 
alles verloren, denn das Aus- 
spähen von Daten auf diesem 
Weg funktioniert nachweislich 
nur dann, wenn bestimmte Be- 
dingungen gegeben sind — die 
man wiederum dazu verwen- 
den kann, Abwehrstrategien 
aufzustellen. 

Eine Methode zur Abwehr 
beruht auf dem Prinzip der 
Diffraktion. Diffraktion ist 
ein physikalisches Phänomen, 
bei dem sich Licht, das eine 
Öffnung passiert, so auffä- 
chert, dass aus einem Licht- 
punkt eine unscharfe Scheibe 
wird. Dieses Phänomen ist in 
der Astronomie bestens be- 
kannt und einer der Gründe 
dafür, warum man Teleskope 
mit immer größeren Durch- 
messern baut. 
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Für den vorliegenden Fall 
bedeutet das, dass man die be- 
nötigte Größe des Teleskops 
in einer gegebenen Situation 
abschätzen kann. Die Tabelle 
„Minimaler Teleskopdurch- 
messer“ zeigt einige dieser 
Werte. Diese lassen sich wie 
folgt berechnen. Zunächst be- 
stimmt man die Größe des re- 
flektierten Bildes. Dabei fließt 
die Krümmung der Oberflä- 
che ebenso mit ein wie die 
Richtung, unter der der Moni- 
tor gespiegelt wird. Anschlie- 
Bend bestimmt man den Win- 
kel, unter dem dem entfernten 
Betrachter zwei Pixel in dem 
reflektierten Bild erscheinen. 
Daraus kann mittels des Ray- 
leigh-Kriteriums (benannt nach 
dem englischen Gelehrten 
Lord Rayleigh, Physik-Nobel- 
preisträger 1904) die erforder- 
liche Öffnung des Teleskops 
berechnet werden. 


Gegenstand Distanz Öffnung 
typische Teekanne 5 m 16 cm 
10m 33 cm 
20. m 66 cm 
Auge 2m 62 cm 
5m 1,5 m 
lom 31m 


Genauer besagt das Ray- 
leigh-Kriterium, dass zwei 
Sterne dann noch visuell zu 
unterscheiden sind, wenn der 
Winkel (in Grad), unter dem 
sie dem Betrachter erscheinen, 
größer ist als das 70-Fache des 
Quotienten aus der Wellenlän- 
ge des Lichts und dem Teles- 
kopdurchmesser. Als Formel: 


Wellenlänge 
Winkel > 70 


Durchmesser 


Das bedeutet auch, dass die 
Lesbarkeit (beziehungsweise 
die Entfernung) proportional 
mit dem Teleskopdurchmesser 
zunimmt, dass also eine Ver- 
dopplung des Durchmessers 
entweder zu einer Verdopp- 
lung des Abstands oder zu 
einer Halbierung der kleinst- 
möglichen noch lesbaren Font- 
größe führt. 

In der Praxis gibt es weitere 
Faktoren, die diesen Angriff 
erschweren, sie sind jedoch 
nicht so leicht abzuschätzen 
wie der Einfluss der Diffrak- 
tion. Zunächst ist dies die be- 
nötigte Belichtungszeit. Da mit 
vergleichsweise extremen Ver- 
größerungen gearbeitet wird, 
trifft nur sehr wenig Licht den 
Sensor der Kamera, die Bilder 
werden dunkel. Aus 10 Metern 
Entfernung ist mit Belich- 
tungszeiten zwischen ein und 
fünf Sekunden zu rechnen. 
Bei bewegten Gegenständen 
wie Brillen oder auch bei be- 
wegten Monitorbildern ist das 
ein Problem. 

Ein anderer Faktor ist die 
Tiefenschärfe. Wie aus der 
Fotografie bekannt, gibt es 
genau eine Ebene, die scharf 
dargestellt wird. Der Vorder- 
grund und der Hintergrund 
werden, abhängig von der Ka- 
mera und dem verwendeten 
Objektiv, mehr oder weniger 
unscharf. Während dieser Ef- 
fekt bei den üblicherweise 
verwendeten Brennweiten nur 
moderat auftritt und oft sogar 
als künstlerisches Mittel ge- 
wollt ist, führt er bei den ver- 
wendeten Vergrößerungen zu 
großen Schwierigkeiten. Der 
Bereich, der noch scharf dar- 
gestellt wird, liegt in typischen 
Situationen im Bereich von 


Millimetern, geringste Bewe- 
gungen des Objekts führen 
bereits wieder zu Unschärfe. 

Abschließend bleibt festzu- 
halten, dass der beschriebene 
Angriff erst jüngst bekannt 
wurde und daher das genaue 
Ausmaß des Risikos noch 
nicht endgültig geklärt ist. 
Man kann gegenwärtig nur 
dazu raten, Umsicht walten zu 
lassen. Sollten wichtige Do- 
kumente auf dem Bildschirm 
angezeigt werden, kann es 
nicht schaden, die Vorhänge 
zu schließen. (ur) 
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Suchverfahren 


Semantische Ansätze: 
Kartoo, Sense Engine, Factspotter 


Unterwegs 
zum Finden 


Cai Ziegler 


Begriffliche Mehrdeutigkeit und mangelndes 
Textverständnis bei Google und Konsorten 
lassen die Suche im Web nicht immer zur 
wahren Freude geraten. Nun sollen 
semantische Ansätze dies Dilemma ein für 
alle Mal beseitigen, damit aus der Such- eine 
Findmaschine entsteht. 
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ie Aufgabe ist alles ande- 
D re als trivial und ihre Lö- 

sung mutet nahezu wie 
das Finden des heiligen Grals 
der Technik an: Es geht um 
die Realisierung der semanti- 
schen Suche. Dieses hehre 
Ziel schrieb sich schon die in 
der iX viel zitierte Initiative 
des Semantic Web auf die 
Flagge, verwarf es jedoch nach 
kurzer Zeit wieder, denn eine 
Verwirklichung schien in un- 
erreichbarer Ferne. Was nicht 
heißen soll, dass das Thema 
als solches vom Tisch ist. Im 
Gegenteil. 

Noch immer gibt es zahl- 
reiche Bestrebungen, die den 
derzeitigen Suchansätzen In- 
telligenz einhauchen wollen. 
Vor allem in letzter Zeit 
scheint Bewegung ins Spiel zu 
kommen, was Ankündigun- 
gen wie die Sense Engine von 
Crystal Semantics oder der 
Factspotter von Xerox vor Au- 
gen führen. Weiterhin wäre 
hier das groß angelegte und 
auf politisch höchster Ebene 
aufgehängte Projekt namens 
Theseus — jener Nachfolger 
des gescheiterten deutsch-fran- 
zösischen Quaero-Projekts, 
das einen Gegenpol zu Google 
bilden sollte. Theseus ist zwar 
semantisch, beschränkt sich 
aber auf einige ausgewählte 
Anwendungsfelder, wie die 
Medizin, und soll darum an 
dieser Stelle außen vor blei- 
ben. Ohnehin gilt es zunächst 
zu klären, was denn an der se- 
mantischen Suche anders ist 
als an der jetzigen und wie sie 
sich definitorisch greifen lässt. 


Was eigentlich 
gemeint ist 


Wenn Google und andere su- 
chen, läuft das auf rein syntak- 
tischer Basis ab. Der Benutzer 
gibt eine Folge von Suchbe- 
griffen ein, und die Maschine 
liefert eine Trefferliste. Wer 
nach „Police“ sucht, wird Re- 
sultate erhalten, die sich so- 
wohl auf die Band als auch auf 
eine an der Oder gelegene 
Stadt in Polen beziehen, nebst 
Informationen über polizei- 
liche Angelegenheiten im fran- 


zösisch- und englischsprachi- 
gen Raum. Die Suchmaschine 
vermag nicht zwischen syn- 
taktisch äquivalenten Wortfor- 
men zu trennen, die über eine 
gänzlich unterschiedliche Se- 
mantik verfügen. 

Außer der Handhabung 
begrifflicher Mehrdeutigkeit 
(Polysemie) entziehen sich 
des Weiteren Zusammenhänge 
zwischen Suchtermen nahezu 
vollständig der Auffassungs- 
gabe von Suchmaschinen. 
Wer beispielsweise nach einer 
Liste mit allen Personen sucht, 
die vor 10 Jahren eine Bank 
überfallen haben, dürfte sich 
schwer tun, diesen Sachverhalt 
in eine Sequenz von Suchter- 
men zu gießen. Noch schwie- 
riger wird es beim Durchgehen 
der Ergebnisliste, die viele 
Nieten enthalten dürfte: Die 
Suchmaschinen von heute 
scannen Dokumente aus- 
schließlich nach dem Auftre- 
ten der Suchbegriffe, ohne je- 
doch den Textzusammenhang 
wirklich zu verstehen. 

Semantische Suche geht ge- 
nau dies an, jedoch scheiden 
sich die Geister schon bei de- 
ren Definition. Für die einen ist 
die semantische Suche eine, 
die die Bedeutung eines Wor- 
tes beim Ranking der Doku- 
mente einbezieht und dem 
Benutzer daraus resultierende 
Handlungsempfehlungen gibt. 
Dies könnte dergestalt sein, 
dass die Suchmaschine beim 
Eingeben polysemer Begriffe, 
wie des erwähnten Wortes 
„Police“, eine Gruppierung der 
Ergebnisse nach verschiedenen 
Kategorien vornimmt, wobei 
jede Gruppe eine der Bedeu- 
tungen des Wortes widerspie- 
gelt. Als Urahn dieser Gattung 
semantischer Suche kann Nor- 
thern Light gelten; heute je- 
doch ist diese durch ein Cluste- 
ring der Resultate schmackhaft 
gewürzte Websuche nicht 
mehr online. 

Eine weitere geläufige 
Sichtweise versteht unter se- 
mantischer Suche weit mehr 
als nur die Disambiguierung, 
das Auflösen der begrifflichen 
Mehrdeutigkeit. Dort geht es 
darum, Zusammenhänge und 
Relationen zwischen den Such- 
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begriffen formulieren zu kön- 
nen und dadurch der Suchma- 
schine Fragen zu stellen, wenn 
möglich in natürlicher Sprache: 
„In welchen Kinofilmen von 
Christopher Nolan spielt Chris- 
tian Bale die Hauptrolle?“ Die 
Maschine muss hierzu nicht 
bloß den Inhalt aller in ihrem 
Suchindex vorhandenen Do- 
kumente verstehen, sondern 
außerdem die Anfrage des Be- 
nutzers richtig analysieren 
und dessen Ziel deuten kön- 
nen. Keine leichte Aufgabe. 
Zusätzlich zu diesen beiden 
Deutungen des Konzepts der 
semantischen Suche gibt es be- 
liebige weitere, denn die Ver- 
wendung des Terminus ist fast 
so inflationär wie beim aller- 
orten gebrauchten Begriff der 
Ontologie. Den gängigen Te- 
nor jedoch formulieren die zu- 
vor genannten Auffassungen. 


Schubladendenken 


durchaus erwünscht 


Wie eingangs erwähnt, gibt 
und gab es Suchmaschinen, 
die der Auflösung von Mehr- 
deutigkeiten mächtig sind be- 
ziehungsweise waren. Die 
US-Firma Northern Light 
schaffte mit ihrer gleichnami- 
gen Websuche den ersten 
Wurf, verschwand aber im 
Jahr 2002 aufgrund des Ver- 
kaufs der Company von der 
Bildfläche. Was Northern 
Light von Google und Yahoo 
unterschied, waren die Ord- 
ner, die links neben den typi- 
schen Suchmaschinenergeb- 
nissen eingeblendet wurden 
(siehe Abb. 1). Diese gaben 
sämtliche denkbaren seman- 
tischen Kategorien vor, in die 
sich die Suchergebnisse ein- 
gruppieren ließen. 

War die Idee durchaus als 
revolutionär zu bezeichnen, so 
ließ sich das Gleiche nicht von 
der Umsetzung behaupten: Die 
Kategorien schienen oft frag- 
würdig und nur schwer nach- 
vollziehbar. Dies mag wohl an 
der Art und Weise der Grup- 
pierung liegen, denn in der 
Regel ist jene nur wenig se- 
mantisch, wie gängige Ver- 
fahren lehren. 
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Um kohärente Gruppen von 
Texten zu bilden, wird jedes 
Dokument der Resultatmenge 
einer Suchanfrage als Vektor 
dargestellt. Dieser spiegelt die 
Häufigkeit der Wörter im Text 
wider. Für jedes Wort wird so- 
mit ein Eintrag im Vektor re- 
serviert und dieser mit einer 
Ganzzahl befüllt. Tritt das 
Wort „Insight“ beispielsweise 
dreimal auf, würde an der da- 
zugehörigen Stelle im Vektor 
eine 3 stehen. Die Abbildung 
der Dokumente auf Vektoren 
ermöglicht es schließlich, die 
Ergebnisse in einem n-dimen- 
sionalen Raum als Punkte dar- 
zustellen. Mit Clustering-Ver- 
fahren (siehe beispielsweise 
[2)) lassen sich Häufungen von 
Punkten kenntlich machen, 
wobei jede Häufung eine 
Gruppe ausdrückt. Alle diese 
Gruppen werden bei Northern 
Light schließlich durch jeweils 
einen Ordner repräsentiert. 

Der Mangel dieses Vorge- 
hens zur Einsortierung der Do- 
kumente in dynamische Grup- 
pen besteht darin, dass das 
Verfahren wieder nur auf der 
syntaktischen Ebene arbeitet. 
Ein Dokument wird in Worte 
zerlegt, die zum Aufbau des 
Vektors dienen. Hier kommt 
es unweigerlich zur Zerstörung 
von Zusammenhängen, die 
mehrere Wörter umspannen. 
Außerdem bleibt die Frage 
der Synonymie (das Auftreten 
zweier verschiedener Wörter 
mit gleicher Bedeutung) sowie 
der Polysemie außen vor; denn 
der Vektor zählt nur die Häu- 
figkeit syntaktisch identischer 
Wortformen. In welchem Kon- 
text ein Wort vorkommt, ob 
mit Police die Stadt oder die 


AI Northern Lights 5e 


FPash Vermont @ 


Os a % 


3 


“Do 


Bazezich | Basar | Busnes 


‚Sire this Senrch a5 an Alert 


177,899 eis fo 


Nintendo 


N Mietenke 


za Organized by topic 


Mahstrersun TEmzeam Io. | 
BA En mis sach ? rs 


Usites 


79% - Company Joru jiaue: 
would you be? Rad Blue 


Comm ch mes: tl) W 


le Hl Qusarbar Kadlıorı Mark, Olga Gamers Also 


.Nirpaudo... 


(Gran) ‚Add Ta Cart 


allable a NLARS 


US Pant 5.024.090 


Search Cuerant News 


Domnates NE Today’s Tuy Tast 


Northern Lights einstige Websuche gruppierte sämtliche 
Suchergebnisse ähnlicher Thematik in eigene Cluster (Abb. 1). 


Band gemeint ist, findet keine 
Beachtung. 

Verfahren wie Latent Se- 
mantic Indexing oder die in 
der Praxis gängige Singular 
Value Decomposition (siehe 
[3])) nehmen sich des Pro- 
blems an, allerdings schaffen 
sie ebenfalls keine Abhilfe. 


Von Ordnern 


zu Inseln 


Zwar gibt es Northern Lights 
Suche seit geraumer Zeit 
nicht mehr im Web, doch ha- 
ben einige Nachfolger mit 
ähnlicher Ausrichtung das ent- 
standene Vakuum ausgefüllt. 
Der spektakulärste unter ih- 
nen dürfte Kartoo sein, eine 
französische Meta-Suchma- 
schine, die Resultate der Su- 
che nicht in Ordnern grup- 


A-TRACT 


© Semantische Suche zielt darauf ab, die Bedeutung von 
Begriffen statt deren lexikalische Formen zu betrachten 
und in die Suche einzubeziehen. 


© Typische Ausprägungen semantischer Suche sind die Dis- 
ambiguierung mehrdeutiger Anfragen und die Zuordnung 
von Dokumenten zu Kategorien, die deren Inhalt beschreiben. 


© Weitergehende Ansätze semantischer Suche betrachten 
nicht nur Begriffe und deren Kontext, sondern versuchen 
außerdem, die grammatikalischen Strukturen von Sätzen 
und deren Bedeutung zu erfassen. 
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piert, sondern grafisch opu- 
lent auf einer Art Landkarte 
auslegt (siehe Abb. 2). Je grö- 
Ber die räumliche Distanz zwi- 
schen den kleinen Inselchen, 
umso geringer die semanti- 
sche Ähnlichkeit der beiden 
Themen-Cluster. Um wieder 
beim Police-Beispiel zu blei- 
ben, sollten im Idealfall die 
Dokumente, die sich auf die 
Band beziehen, und jene, die 
die polnische Stadt zum Inhalt 
haben, auf weit voneinander 
entfernten Archipelen unterge- 
bracht sein. Als verwendete 
Basistechnik darf man bei die- 
sem interessanten Ansatz wohl 
ein als Self-organizing Maps 
bekanntes Verfahren anneh- 
men (siehe [4]), bei dem es je- 
doch mit der Semantik eben- 
falls nicht so weit her ist. 
Darum sind die Ergebnisse 
von Kartoo oftmals zwar nett 
anzuschauen, aber durchaus 
noch verbesserungsfähig. 

Um die Zuordnung von 
Dokumenten zu Themen zu 
verbessern, hat David Crystal, 
einer der weltweit führenden 
Sprachwissenschaftler und 
Herausgeber der Cambridge 
Encyclopedia of the English 
Language, einen neuen Ansatz 
in Angriff genommen. Das 
Neue daran ist nicht einmal die 
Technik, sondern der enorme 
Aufwand, der betrieben wurde, 
um das Projektvorhaben zu 
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Suchverfahren 


Die Meta-Suchmaschine Kartoo gruppiert Resultate 
nicht nur in Ordner, sondern platziert sie wahlweise auf 
räumlich getrennten Inseln einer Karte (Abb. 2). 


realisieren: Über 15 Jahre ha- 
ben Crystal und seine Mitar- 
beiter jedes Wort der engli- 
schen Sprache genauestens 
unter die Lupe genommen und 
klassifiziert. Das nun fertige 
Produkt wird unter dem Na- 
men Sense Engine vermarktet 
und gilt als das Flaggschiff 
des Unternehmens Crystal Re- 
ference, das der Linguist ins 
Leben gerufen hat. 
Tatsächlich ist die Sense 
Engine schon im Einsatz und 
erwirtschaftet Profit, um die 
horrenden Entwicklungskosten 
wieder einzufahren. Allerdings 
nicht, wie man vermuten mag, 
in einer Suchmaschine, son- 
dern als Teil einer Softwarelö- 
sung für Onlinewerbung: 2006 
hat Ad Pepper Crystal Refe- 
rence geschluckt, ein führendes 
Unternehmen für Contextual 
Targeting, der bedarfsgerech- 
ten und auf die Interessen des 
Site-Besuchers zugeschnitte- 
nen Platzierung von Werbung. 
Zuvor hatte Crystal versucht, 
seine Entwicklung den beiden 
Giganten Google und Yahoo 
schmackhaft zu machen, die 
jedoch dankend ablehnten. 
Als Grund für die Ablehnung 
äußerte Crystal in einem Inter- 
view in der Online-Ausgabe 
der FAZ vom 24. September 
2007 die Vermutung, dass 
die beiden wohl schon zu viel 
Geld in eigene Ansätze in- 
vestiert hätten, die jedoch 
nicht richtig gut funktionieren 


120 


würden und minderwertig 
seien. Ob hier der verletzte 
Stolz oder begründete Kritik 
Vater der Äußerung war, sei 
dahingestellt. 

Was zunächst wie eine 
180°-Wende anmuten mag, ist 
faktisch gar kein so großer 
Bruch. Denn sowohl beim 
Contextual Targeting wie bei 
der Websuche ist der zentrale 
Punkt die Erkennung des The- 
mas einer Webseite: Bei der 
Suche ist dies nötig, um The- 
men-Cluster herauszufinden. 
Beim Contextual Targeting 
dient die Kategorisierung hin- 
gegen dem Matching der vom 


Benutzer aktuell betrachteten 
Seite zu einer Werbebotschaft 
aus einem Pool von Bannern. 
Derzeit im Einsatz befindliche 
Ansätze scheitern oftmals kläg- 
lich, wie das Ad-Targeting bei 
Googles Ad Words oder You- 
tube beweist. Der Grund hier- 
für liegt darin, dass das Mat- 
ching vom Seiteninhalt zur 
Botschaft rein auf Basis von 
Schlüsselwörtern, nicht jedoch 
auf der Basis des semantischen 
Inhalts durchgeführt wird. Als 
Negativbeispiel führt Crystal 
einen hypothetischen Fall an, 
bei dem zu einem elektroni- 
schen Nachrichtenartikel über 
eine Messerstecherei die Wer- 
bung eines Herstellers von Kü- 
chenutensilien eingeblendet 
wird. Das in beiden Fällen vor- 
kommende Stichwort „Mes- 
ser“ liefert dazu den Anstoß, 
obwohl der Kontext ein völlig 
anderer ist. 


Wort für Wort 


fein seziert 


Menschlicher Fleiß heißt das 
Geheimrezept von Crystals 
Sense Engine, denn im Laufe 
der zuvor genannten 15 Jahre 
haben er und seine Helfer ein 
Klassifikationsschema aus über 
2000 Kategorien in Handarbeit 
erstellt. Das Schema zu kon- 
zipieren war dabei jedoch nur 


der Gipfel des Eisbergs, denn 
zusätzlich ging sein Team 
Wörterbücher durch und klas- 
sifizierte jeden einzelnen Ein- 
trag gemäß dem Schema. Auf- 
grund der vielfach zitierten 
Mehrdeutigkeit von Begrif- 
fen können einem solchen 
Eintrag durchaus viele Be- 
deutungen zugeordnet sein. 
So ist „Depression“ nicht nur 
eine Krankheit, sondern eben- 
so eine Wetterlage oder ein 
Terminus aus der Wirtschaft. 
Im Fall Police würde dies 
allein jedoch nicht weiterhel- 
fen, denn in der Bedeutung der 
Stadt aus Polen wird man Po- 
lice in keinem Wörterbuch fin- 
den: Eigennamen, Namen von 
Marken, Produkten und weite- 
re sogenannte „Named Ent- 
ities“ sind Mangelware in 
Wörterbüchern. Deren Umfang 
würde sonst schier explodieren, 
zudem wäre die Aufnahme von 
Named Entities dem Zweck ei- 
nes Wörterbuchs nur wenig Zu- 
träglich. Crystal hat sich dieser 
Eigennamen jedoch ebenfalls 
angenommen und so die Da- 
tenbasis der Sense Engine für 
diverse Domänen um die darin 
gängigen Entitäten erweitert. 
Eine Sisyphosarbeit. 
Allerdings liegt der Erfolg 
auf der Hand. Denn dank der 
Möglichkeit, für jedes textuel- 
le Atom eines elektronischen 
Dokuments seine optionalen 


Semantisches Lexikon WordNet 


WordNet ist ein groß ange- 
legtes Projekt der Universität 
Princeton, das darauf abzielt, 
die Wörter und Begriffe der 
englischen Sprache semantisch 
zu strukturieren und deren Be- 
züge untereinander aufzuzei- 
gen. Der Nukleus von WordNet 
ist das sogenannte Synset, das 
für ein abstraktes Konzept steht 
und sämtliche Wörter umfasst, 
die synonym für dieses Konzept 
stehen. Ein derartiges Synset für 
den Begriff des Flugzeugs wür- 
de die Wörter „plane“ und „air- 
craft“ beinhalten. Neben Syno- 
nymen sind oft Beispielsätze für 
den Gebrauch des Konzepts 
genannt (Glosses). 


Interessanter ist jedoch der Be- 
zug zu anderen Synsets des 


WordNet, etwa durch Hypony- 
mie zum Ausdruck gebracht: 
Konzept A gilt als Hyponym 
von B, wenn A eine Speziali- 
sierung von B darstellt und 
folglich jede Ausprägung von A 
automatisch eine Instanz von B 
ist. So ist „Düsenflugzeug“ ein 
Hyponym von „Flugzeug“. Es 
gibt zahlreiche weitere seman- 
tische Bezüge, beispielsweise 
die Meronymie, die eine Teil- 
Ganzes-Relation ausdrückt, 
wie „Reifen“ beim Konzept 
„Fahrzeug“. 


WordNets Datenbank gruppiert 
über 150000 Wörter in weit 
mehr als 115 000 Synsets und 
kann gebührenfrei in verschie- 
denen Formaten herunterge- 
laden werden. Zahlreiche ver- 


fügbare APls in verschiedenen 
Programmiersprachen erleich- 
tern dem Entwickler den Zu- 
griff. Primärer Verwendungs- 
zweck von WordNet ist das 
Umfeld der automatischen Text- 
verwertung, darunter Text Mi- 
ning, Information Retrieval und 
Natural Language Processing 
(NLP). Außerdem ist seine 
strukturelle Ähnlichkeit zu den 
vor allem im Semantic Web ge- 
bräuchlichen Ontologien deut- 
lich erkennbar. 


Außer der englischen Mutter- 
version gibt es Bestrebungen, 
das WordNet in 40 weitere 
Sprachen zu übertragen, unter 
diesen Deutsch. Allerdings ist 
das teutonische Pendant namens 
Germanet nicht frei verfügbar. 
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zahlungsunfähig 


und konnte die nicht begleichen. 


“ 
- Finanzwesen 
- Möbel 


- Finanzwesen 


- Mathematik 


- Finanzwesen 


Der in der Abbildung gesuchte Sinn des Wortes „Bank” kann 
dank des umgebenden Kontextes ermittelt werden (Abb. 3). 


Kategorien zu bestimmen, lässt 
sich leicht der im Kontext ge- 
brauchte Sinn eines Wortes 
herausfinden. Man nehme den 
Begriff „Chair“, der ein Mö- 
belstück (Stuhl) oder eine Per- 
son (universitärer Lehrkörper) 
bezeichnen kann. Treten im 
kapselnden und in den umlie- 
genden Sätzen weitere Kon- 
zepte auf, die dem universitä- 
ren Umfeld zuzurechnen sind, 
bei denen deshalb eine Assozi- 
ation mit der Kategorie „Uni- 
versität“ vorliegt, ist dies ein 
stichhaltiges Indiz, dass der 
Lehrkörper und nicht der Stuhl 
gemeint ist. Es wird daher die 
Überlappung der Kategorien 
für jeden der umliegenden Be- 
griffe in einem nicht zu großen 
Umkreis gemessen. Die Kate- 
gorie mit den meisten Treffern 
gewinnt (siehe Abb. 3). 

Das gezeigte Verfahren ist 
einfach und keineswegs neu- 
artig, setzt jedoch einen enor- 
men Zeitaufwand voraus. Da- 
rum wurde es bislang nur für 
die englische und nicht für die 
deutsche Sprache umgesetzt. 
Zwar gibt es schon gute elek- 
tronische Wörterbücher, bei 
denen die diversen Bedeutun- 
gen eines Eintrags vermerkt 
sind, jedoch sind hier eben 
meist nur Konzepte und weni- 
ger Named Entities angeführt. 
Zudem liegt kein detailliertes, 
enzyklopädisches Klassifi- 
kationsschema vor, das jeder 
möglichen Bedeutung die zu- 
gehörige Kategorie zuordnet. 
Typisches Beispiel für ein 
strukturiertes, digitales Wörter- 
buch ist WordNet (siehe den 
Kasten „Semantisches Lexikon 
WordNet“), das in mehreren 
Sprachen, hauptsächlich aber 
in englischer, vorliegt. 

Es gibt auch maschinelle 
Ansätze, bei denen der Rech- 
ner lernt, vollkommen automa- 
tisch und ohne derartig auf- 
wendiges Zutun des Menschen 
den richtigen Sinn zu ermitteln. 
Allerdings funktionieren diese 
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in der Praxis bei Weitem nicht 
so gut. Crystal hat hier einen 
Präzedenzfall geschaffen und 
kann mit einer hohen Güte 
der Kategorisierung von Do- 
kumenten gemäß dem Klas- 
sifikationsschema glänzen, 
was die von ihm vorgelegten 
Benchmarks bestätigen. 


Aufbruch zu 


neuen Such-Ufern 


Während sich Crystals Sense 
Engine vornehmlich dem The- 
ma der Disambiguierung von 
Konzepten verschreibt, geht 
Factspotter von Xerox einen 
Schritt weiter. Hier will man 
laut einiger Pressemeldungen 
Google und Yahoo Paroli bie- 
ten. Mit einer semantischen 
Suchmaschine, die Anfragen 
in natürlicher Sprache erlaubt 
und nicht nur Aneinanderrei- 
hungen bloßer Schlüsselwörter. 

Mehr noch: Factspotter 
kann einzelne Passagen als 
passende Hits für eine Anfrage 
ausmachen; das kleinste Gra- 
nulat ist daher nicht mehr ein 
ganzes Dokument, in dem die 
Antwort auf die Frage liegt, 
sondern tatsächlich nur der re- 
levante Absatz. Synonyme er- 
kennt die Suchmaschine aus 
Grenoble ebenso ohne Schwie- 
rigkeiten: Wer in seiner Anfra- 
ge an Factspotter nach Larry 
Ellison sucht, wird sogar Do- 
kumente als Treffer erhalten, 
die nur vom Vorstandsvorsit- 
zenden von Oracle sprechen, 
ihn jedoch nicht namentlich 
erwähnen. 

Weiterhin analysiert Fact- 
spotter Sätze auf deren gram- 
matikalische Struktur hin. Eine 
gewöhnliche Suchmaschine 
weiß mit dem schlichten Per- 
sonalpronomen „er“ nicht viel 
anzufangen. Da dieses Wört- 
chen syntaktisch von Larry EI- 
lison verschieden ist, vermag 
sie nicht den Bezug zum Ora- 
cle-Chef zu erkennen. Fact- 


spotter erkennt dank einer lin- 
guistischen Engine, dass sich 
das „er“ als Subjekt des aktuel- 
len Satzes auf Larry Ellison 
bezieht, der im vorigen Satz 
genannt wurde. Beide Sätze 
wären somit Hits für eine An- 
frage nach Ellison. 

Welche ausgeklügelten 
Techniken bei Factspotter un- 
ter der Haube bemüht werden, 
liegt weitgehend im Dunkeln. 
Ohnehin findet sich im Web 
herzlich wenig Material zu die- 
ser Suchmaschine der nächsten 
Generation. Darum lassen sich 
auch keine stichhaltigen Argu- 
mente anführen, die schwarz 
auf weiß belegen könnten, dass 
diese tatsächlich hält, was sie 
verspricht. Zudem lässt Xerox 
auf seiner Homepage verlau- 
ten, dass seine neue Suchma- 
schinentechnik, entgegen der 
Aussagen mehrerer Pressemit- 
teilungen, nur für interne Zwe- 
cke genutzt würde und somit 
eben nicht als Gegengewicht 
zu Google und Yahoo gedacht 
sei. Jedenfalls noch nicht. 


Und wo bleibt 
das Semantic Web? 


Neben allen gezeigten Ansät- 
zen blieb bislang das Semantic 
Web, das in seinen frühen Ma- 
nifesten die semantische Suche 
zum Ziel Nummer 1 erkoren 
hat, außen vor. Zu Recht, 
denn noch ist wenig von der 
Realisierung jener Vision zu 
verspüren. Dazu müssten erst 
weite Teile des aktuellen Web 
semantisch von Menschen- 
hand annotiert werden (siehe 
[1]), was in weiter Ferne 
liegt. Sollte dieses Werk ei- 
nes Tages jedoch tatsächlich 
vollbracht sein, stünde der 
semantischen Suche auf Ba- 
sis annotierter RDF-Tripel 
nichts mehr im Wege. Pas- 
sende Anfragesprachen gibt 
es zuhauf, Requests in diesen 
könnten relativ leicht in na- 
türliche Sprache übertragen 
werden und umgekehrt. 
Dennoch setzen Experten 
dem entgegen, dass Suchma- 
schinen, wie sie das Semantic 
Web in seiner einen Quanten- 
sprung verheißenden Vision 


vorsieht, in puncto Geschwin- 
digkeit den handelsüblichen 
Search Engines deutlich unter- 
legen wären. Bis dahin müs- 
sen noch kleinere Brötchen 
gebacken werden, mit sprach- 
statistischen Mitteln zur Dis- 
ambiguierung von Wortbe- 
deutungen, wie bei Northern 
Light und Kartoo der Fall, 
oder mit annotierungswilli- 
gen Linguisten, wie bei David 
Crystal und seiner Mannschaft 
geschehen. Auf jeden Fall 
dürfte das Thema in Zukunft 
noch ordentlich für Zündstoff 
sorgen. (hb) 


DR. CAl ZIEGLER 


arbeitet als Consultant 

bei der Siemens AG, 
Corporate Technology. 
Dort beschäftigt er sich mit 
Themen rund um Suche, 
Data und Text Mining 
sowie das Semantic Web. 


Literatur 


[1] Cai Ziegler; Sinn oder 
nicht Sinn; Vom Suchen 
und Finden der Semantik 
im Web; c’t 21/2007, 
S.172 

[2] Jiawei Han, Micheline 
Kamber; Data Mining: 
Concepts and Techniques; 
Second Edition; San 
Francisco (Morgan 
Kaufmann) 2006 

[3] Soumen Chakrabarti; 
Mining the Web; San 
Francisco (Morgan 
Kaufmann) 2003 

[4] Cai Ziegler; Kleine 
Inselmusik; Daten- 
visualisierung mit Self- 
organizing Maps; 

iX 02/2008, S. 124 


EEix-ink080s1 18 


Meta-Suchmaschine Kartoo 
www.kartoo.com 

Semantisches Lexikon WordNet 
wordnet.princeton.edu 

Whitepapers zur Sense Engine 
www.crystalsemantics.com 


R 


121 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Webprogrammierung 


Amazons Web-2.0-Schnittstellen 


Von Links und 
Widgets 


Stefan Mintert 


Amazon hat schon vor einigen Jahren eine API bereitgestellt, 
die es Programmierern erlaubt, Produkte des Internethändlers 
auf eigenen Webseiten anzubieten. Im Web-2.0-Zeitalter 
ermöglichen das vereinfachte Schnittstellen und 
zusammenklickbare Widgets - ohne Programmierkenntnisse. 
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as als Internetbuchhändler gestar- 
D:: Einkaufsportal Amazon hat 

früh damit begonnen, mit einem 
Partnerprogramm Dritten zu erlauben, 
Kunden auf seine Seiten zu locken. 
Dafür stehen Webservices zur Verfü- 
gung (siehe [1]). Es ist jedoch eine ein- 
fache Erkenntnis, dass eine Funktion 
umso häufiger genutzt wird, je simpler 
sie gestaltet ist. 

Links sind Schnittstellen, die Ama- 
zon seit Langem anbietet. Die Idee, da- 
mit Geld zu verdienen, ist schnell um- 
gesetzt: Ein Interessent registriert sich 
als Amazon-Partner. Dieser Schritt steht 
jedermann offen. Die nachfolgenden 
Geschäfte gelten laut FAQ (siehe On- 
linequellen [a]) als „Handelsvermitt- 
lung“, „Vermittlung von Geschäften im 
Internet“ oder Ähnliches. Wer poten- 
ziellen Ärger vermeiden möchte, sollte 
diese Frage mit seinem Steuerberater 
klären. 

Als Ergebnis der Registrierung erhält 
der frisch gebackene Partner eine ID, die 
bei allen weiteren Maßnahmen die rich- 
tige Zuordnung sicherstellt. Eine solche 
ID könnte „linkwerkcom-21“ sein. Wer 
nun einen Link auf ein einzelnes Pro- 
dukt einrichten möchte, muss nichts 
weiter tun, als die ID an der richtigen 
Stelle als Parameter an den Link zu hän- 
gen. Der sicherste Weg führt über den 
Linkgenerator auf der Webseite von 
Amazon (siehe die Abbildungen 1 und 
2). Der dort erzeugte Code nimmt bei- 
spielsweise die Gestalt von Listing 1 
an. Wer diesen Link oder die unten fol- 
genden, spannenderen Widgets in Ak- 
tion sehen möchte, findet sie im Blog 
des Autors (siehe „Onlinequellen‘“‘). 

Bei obigem Beispiel handelt es sich 
um einen Grafiklink. Amazon stellt die 
dazugehörige Grafik, in diesem Fall 
den Umschlag des verlinkten Buches, 
für solche Zwecke zur Verfügung. Ein 
neues Feature dieser alten Schnittstelle 
ist der sogenannte Vorschaulink. Er 
stattet Einzeltitellinks mit einem Mouse- 
over-Effekt aus, bei dem der Betrach- 
ter eine Produktvorschau sieht, sobald 
er die Maus über den Link bewegt. 
Für die Implementierung von Vor- 
schaulinks genügt es, ein scripr-Ele- 
ment in die eigene Seite einzubauen. 
Es lädt den diesbezüglichen Widget- 
Code und erzeugt die Effekte. 

Das (gemeinsame) Geldverdienen be- 
ginnt, sobald ein Besucher dem Link 
folgt und bei Amazon einkauft. Der mit 
der ID „getaggte‘“ Link stellt sicher, dass 
Amazon den Vermittler erkennen und 
für getätigte Einkäufe eine sogenannte 
Werbekostenerstattung gutschreiben 
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kann. Die Höhe der Gutschrift liegt 
derzeit im einstelligen Prozentbereich, 
bezogen auf den Netto-Umsatz. Neben 
einem Abrechnungsmodell mit einem 
festen Prozentsatz gibt es das attrakti- 
vere Modell mit gestaffelten Sätzen, je 
nach Anzahl der verkauften Produkte. 
Die Konditionen sind auf der Partner- 
Site zu finden. 


Unterwegs 


von Web 1 zu Web 2 


Es ist nicht überraschend, dass es ne- 
ben dem Einzeltitellink schon früh wei- 
tere Optionen gab. Der Klassiker ist si- 
cher das Banner. Amazon stellt nach 
Produktlinien (Musik, Bücher, Filme, 
Elektronik et cetera) und nach Größe 
sortierte Banner zur Verfügung. Mit der 
Partner-ID versehen, funktionieren sie 
genauso wie die Einzeltitellinks. Glei- 
ches gilt für „empfohlene Produktlinks“ 
und „Suchfeld-Boxen“. 

Erstere funktionieren über die Vor- 
auswahl einer Produktlinie und eines 
Schlagworts. Wer etwa „Musik“ und 
„Country“ vorgibt, erhält den HTML- 
Code für einen iframe, in dem Produk- 
te von Johnny Cash bis Texas Light- 
ning erscheinen. 

Suchfeld-Boxen sind klassische 
HTML-Formulare für die Suche auf 
Amazon.de, allerdings in einen iframe 
eingebettet. Suchergebnisse werden 
nicht auf der ursprünglichen Seite des 
Partners angezeigt, sondern auf der 
des Internethändlers. 

Abgesehen von den Einzeltitellinks 
arbeiten alle vorgestellten Funktionen 
mit Code von der Amazon-Seite. Ent- 
weder eingebettet in einen iframe oder 
als nachgeladener Scriptcode. Hier zeigt 
sich, dass obwohl ein Feature noch 
„Link“ heißt, es sich technisch längst 
um etwas handelt, wofür sich in den ver- 
gangenen Monaten der Begriff „Wid- 
get“ etabliert hat. In allen gezeigten Fäl- 
len findet ein parametrisierter Zugriff 
über eine öffentliche API statt. Das Er- 
gebnis ist eine Mashup-Seite. Schon die 
einfachen Beispiele sind deshalb dem 
Schlagwort „Web 2.0“ zuzuordnen. 

Außer der technischen Umsetzung 
hat Amazon die Darstellung und die 
Funktionsvielfalt kontinuierlich er- 
weitert. Eine aufwendigere Funktion 
sind die „Self-opimizing Links“. Die 
sich selbst optimierenden Links verän- 
dern ihren Inhalt je nach dem der Web- 
seite, in die sie eingebettet sind. Das 
funktioniert wie bei Googles Werbe- 
einblendungen. Ein Amazon-Crawler 
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Erster Schritt zu 
einem „Einzeltitel- 
link” ist die 
Produktsuche. Beim 
Konfigurieren des 
Links (zweite 
Abbildung) bildet 
der Linkgenerator 
die gewünschte 
Darstellung im 
HTML-Code ab 
(Abb. 1 und 2). 


ine Indiyhlnalisieren 


Listing 1: Von Amazon erzeugter Link 
<a href="http://uuw.anazon.de/gp/product/3952128759?je=UTFößtag=Linkwerkcom-21&linkCodezas2&camp=16388creative= 
67428creativeASIN=3952128759"><ing border="0" sre="T14DAHOCHPL,_AA_SLI6O_. jpg"> 
</ar<ing sre="http://mun.assoc-amazon.de/e/ir?t=Linkwerkcon-21&l=as2&0=38a=3952128759" 


width="1" height="1" border="0" alt=" style="border:none !inportant;margin:Opx !important;" /> 


besucht die Seite, die den selbst opti- 
mierenden Link enthält und analysiert 
deren Content. Die gesammelten Infor- 
mationen sind die Grundlage für die in 
Zukunft dargestellten Produkte. Wer die 
Crawler-Besuche in seinen Zugriffssta- 
tistiken verfolgen möchte, sollte nach 
der User-Agent-Kennung „Mozilla/5.0 
(compatible; AMZNKAssocBot/4.0)“ 
Ausschau halten. Listing 2 enthält den 
erforderlichen Code für die selbst opti- 
mierenden Links. 


Produkte 
selbst auswählen 


Im ersten Scriptblock sind die über die 
Webseite ausgewählten Parameterbele- 
gungen zu sehen. Der zweite lädt den 
Widget-Code. Da die Selbstoptimie- 
rung eben nicht von selbst, sondern nur 
mit dem Crawler funktioniert, versteht 
es sich, dass der Zugriff auf die Web- 
seite nicht eingeschränkt sein sollte. Im 


A-TRACT 


© Amazon bietet neben einer Web- 
service-APl einfache Schnittstellen 
für die Verknüpfung der eigenen 
Webseite mit dem Internet- 
Händler. 


© Für die Benutzung der Widgets 
genügen minimale Kenntnisse über 
den Aufbau von Webseiten. 
Amazon generiert den erforder- 
lichen Code. 


© Das Design der Widgets folgt dem 
Web-2.0-Trend. 


Listing 2: 
Code für selbst-optimierende Links 


sscript typez"text/javascript"><!-- 
amazon_ad_tag = "Linkwerkcon-21"; 
amazon_ad_ width = "468"; 
amazon_ad_height = "60"; 
amazon_ad_Logo = "hide"; 
amazon_ad_discount = "remove"; 
I1-> 
sIscript> 
sscript type="text/javascript" 
sre="http://uun.assoc-amazon.de/s/ads. js"></script> 


Intranet oder in passwortgeschützten 
Bereichen öffentlicher Sites steht die 
Funktion nicht zur Verfügung. 

Wer die Kontrolle über die angezeig- 
ten Produkte behalten möchte, ist mit 
dem „Meine Favoriten-Widget“ gut be- 
raten. Über die Webseite lassen sich be- 
liebige Produkte auswählen und zu ei- 
nem Widget zusammenfassen. Es kann 
mehrere solcher Zusammenfassungen 
geben, die der Benutzer jeweils mit ei- 
nem Namen versehen, speichern und 
nachträglich ändern kann. Die Verwal- 
tung der eigenen Widgets ist bequem. Im 
Gegenzug offenbart der erzeugte Code 
keine Anhaltspunkte für manuelle Para- 
meteränderungen (siehe Listing 3). 

Ähnlich sieht das Wunschzettel-Wid- 
get aus. Ein Wunschzettel ist eine Funk- 
tion, die dazu dient, sich gewünschte 
Produkte zu merken und für andere 
sichtbar zu machen. Dazu gehören Ver- 
waltungsfunktionen wie „Wie oft ge- 
wünscht?“ et cetera. Aus einer solchen 
Liste lässt sich direkt ein Widget erzeu- 
gen. Es genügt die Angabe einer Mail- 
adresse. Die vorhandenen Wunschzettel 
zeigt Amazon an und erzeugt auf Klick 
den Widget-Code. Das Ergebnis ist eine 
dynamische Webseitenkomponente, die 
das Blättern in den Produkten und eine 
Sortierung nach Datum der Aufnahme 


123 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Webprogrammierung 


und letzter Änderung am Wunschzettel 
gestattet. 

Doch nicht nur im Bereich grafisch 
aufgepeppter Widgets hat Amazon Neu- 
es zu bieten, textuelle Links erfahren 
ebenfalls eine Modernisierung. Wie oben 
steht die Einfachheit im Vordergrund. 
Die Rede ist vom „Quick Link Widget“. 
Grundlage ist ein kleines Javascript, das 
über Angabe der Partner-ID einmalig 
in die Webseite einzubauen ist. Auf 
den Code sei hier verzichtet, da er ne- 
ben einem unverständlich parametri- 
sierten URI nichts enthält. Ist der Wid- 
get-Code erst auf der Seite aktiv, lassen 
sich leicht Links einbauen. So nimmt 
der Verweis auf die Suchfunktion von 
Amazon nun folgende Gestalt an. 


<a type="amzn">Walkabouts</a> 


Hier sollte Musik der Walkabouts als 
Ergebnis erscheinen, aber Amazon lie- 
fert Treffer aus allen Produktlinien. 
Wer ausschließlich auf Bücher von 
oder über Bob Dylan, nicht jedoch auf 
CDs verweisen möchte, fügt die dies- 
bezügliche Kategorie als Attribut hin- 
zu. Und wenn sich Linktext und Such- 
begriff unterscheiden sollen, hilft ein 
weiteres Attribut: 


<a type="amzn" search="Bob Dylan" 
category="books">Bücher von oder 
über Bob Dylan</a> 


An diesem Punkt wird klar, dass die 
Vorgehensweise nichts für HTML-Pu- 


Product Cloud Widget 


Von den Tag Clouds 1... uam ae sum 


des Web 2.0 
inspiriert: die re era 
Product Cloud 
(Abb. 4) 


Babralt uud Lanyaast IE 


Amazon.de Meine Favoriten Widget 


jpowen Ch 


Waren vom uam \ 
| 
Z 


Volume Schein ) (Rune Wh) | Seesen | Aktuma in Bearbeitung: 4a Timm Faranten 


Mit „Meine 
Favoriten” kann der 
Benutzer steuern, 
welche Produkte das 
Widget anzeigt 
(Abb. 3). 


Listing 3 


sscript charsetz"utf-8" type="text/javascript" sre="http://us.amazon.de/widgets/g?ServiceVersion=20070822&MarketPlace= 
DERID=V20070822/DE/Linkwerkcom-21/8001/9e647895-aa87-4e83-be57-87f26a854fed"> </script> 


risten ist. Das Attribut type ist in HTML 
bekannt, die beiden anderen jedoch 
nicht. Wer den Code nicht per Hand in 
eine Seite einbaut, sondern mit irgend- 
einer Art von Software erzeugen oder 
verarbeiten lässt, sollte auf eine Vali- 
dierung verzichten. Bei der Validierung 
gegen eine HTML/XHTML-Standard- 
DTD sorgen nicht nur die unbekannten 
Attribute, sondern auch die in Listing 1 
und 3 gezeigten „&“-Zeichen für Fehler. 
Letztere lassen sich vermeiden, wenn 
man das „&“ durch „&amp;“ ersetzt. 
Quick Link Widgets vereinfachen 
nicht nur den Suchlink, die Einzeltitel- 
links lassen sich mit ihrer Hilfe eben- 
falls ohne Zusammenklicken auf der 


Widget zeigt raharante Frosukte für Ihre Seite. Mehr 


nern 
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Für die Slideshow 
stehen mehrere 
Darstellungsarten 
und Übergänge zur 
Verfügung (Abb. 5). 


Webseite erstellen. Es genügt, die Ama- 
zon-eigene Produktnummer namens 
„ASIN“ zu kennen. Sie ist auf den Pro- 
duktseiten zu sehen und kann von dort 
kopiert werden. Ein Link auf ein be- 
stimmtes Produkt sieht so aus: 


<a asin="B000082567" 
type="amzn">The Wild, The Innocent &amp; 
The E-Street Shuffle</a> 


Optische Spielereien 


Das Web 2.0 hat Tag Clouds hervorge- 
bracht, die zusammenhängende Darstel- 
lung von Begriffen, wobei Schriftgrad 
und -gewicht dem Stellenwert des je- 
weiligen Begriffs entsprechen. Der Stel- 
lenwert lässt sich auf unterschiedliche 
Weise berechnen. Wenn es um Tagging 
geht, dürfte die Häufigkeit eines Tags 
die maßgebliche Größe für die Berech- 
nung des Stellenwerts sein. 

Amazon hat diese visuelle Darstel- 
lungsform aufgegriffen und stellt sie 
als „Product Cloud“ zur Verfügung 
(siehe Abbildung 4). Die Product Cloud 
zeigt — wie die selbstoptimierenden 
Links — Produkte, die dem Inhalt der 
Webseite nahestehen. Je näher, desto 
größer und fetter erscheint die Pro- 
duktbezeichnung. Die Auswahl der 
Produkte setzt ebenfalls den Besuch 
des Crawlers voraus. 

Ein zweites, visuell aufwendigeres 
Widget ist die Slideshow, mit Flash re- 
alisiert. Der Benutzer wählt — wie bei 
den Favoriten — über die Webseite be- 
liebige Produkte aus und fasst sie in 
einer Slideshow zusammen. Es stehen 
mehrere Größen und Arten von Slide- 
shows zur Verfügung. Einen optional 
einzugebenden Kommentar legt das 
Flash-Applet über die Produktabbildung. 
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Die Übergänge lassen sich hinsichtlich 
Art und Geschwindigkeit steuern. 

Die guten alten Suchfeld-Boxen hat 
Amazon im Web-2.0-Stil aufpoliert. Aus 
ihnen ist nun das Such-Widget gewor- 
den. Es handelt sich um eine Webseiten- 
Komponente, deren Größe und Ausse- 
hen wie üblich wählbar sind. In ihr kann 
ein Benutzer nach Produkten suchen, die 
im Gegensatz zu den alten Suchformula- 
ren innerhalb des Widgets angezeigt 
werden. Der Benutzer verlässt die Seite 
erst, wenn er auf ein Produkt klickt. 


Context Links von 
eigenen abgrenzen 


Als einfache und wohl mächtigste Ver- 
linkungsmöglichkeit stellt Amazon die 
sogenannten „Context Links“ zur Ver- 
fügung. Für die Benutzung ist lediglich 
ein script-Element in die eigene Web- 
seite einzubauen. Den Rest erledigen 
der Crawler und das Script. Wie bei 
einigen Widgets zuvor basiert die Ver- 
linkung auf einer Analyse der Seite. 
Anstelle von abgesetzten Boxen, die er- 
kennbar als Amazon-Werbung gekenn- 
zeichnet sind, erfolgt hier jedoch eine 
Verlinkung des Textes der Webseite. 
Geeignete Begriffe werden mit Links 
auf Amazon-Produkte versehen. Ein 
Mouseover-Effekt sorgt für eine Vor- 
schau noch vor dem Klick. 

Darstellung und maximale Anzahl der 
Links lassen sich konfigurieren. Bei der 
Darstellung kann man auf die von Links 
der jeweiligen Webseite zurückgreifen. 
Was auf den ersten Blick ganz praktisch 
aussieht, hat einen entscheidenden Nach- 
teil. Der Leser kann die Amazon-Links 
nicht von „normalen“ unterscheiden. 
Damit ein Leser die Seite nicht schnell 
verlässt, nachdem er ein paarmal frus- 
triert einem Link folgen wollte und im- 
mer bei Amazon landete, erscheint es 
sinnvoller, die Amazon-Links optisch 
deutlich von eigenen abzusetzen. 


Shops per Mausklick 


Als Ergebnis erhält man ein Feature, das 
gelegentlich unerwartete Verknüpfun- 
gen herstellt. Der Autor hat es bei einem 
online veröffentlichten Buch (siehe Kas- 
ten „Onlinequellen“) ausprobiert. Dort 
ist im Abschnitt 2.3 von einem gewissen 
Stanley Rice die Rede. Amazons Con- 
text-Link-Widget verbindet den Namen 
mit dem Buch ‚The Years of Rice and 
Salt‘“ des Autors Kim Stanley Robinson. 
Die Wortübereinstimmung ist offen- 
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Einkaufswagen und Produktempfehlungen (Abb. 6) 


sichtlich und dennoch ist der Link nicht 
das, was man sich wünscht. 

Die Königsklasse der Widgets ist 
wohl der „aStore“, ein vollständiger 
Shop, der als Komponente in jede Web- 
seite einzubetten ist. Anwender können 
ihn mit beliebigen Produkten aus belie- 
bigen Produktlinien bestücken. Die Far- 
ben lassen sich so wählen, dass sich der 
Shop, der in einem iframe läuft, perfekt 
in die eigene Webseite integriert. 

Selbstverständlich erlaubt Amazon 
mehrere Shops anzulegen, mit Namen zu 
versehen und nachträglich zu ändern. 
Außer der festen Partner-ID kann man 
verschiedene Tracking-IDs benutzen, um 
in der Abrechnung erkennen zu können, 
welches Widget beziehungsweise wel- 
cher Shop welche Umsätze generiert. 


1 BEE] | (Siem) art in Benehmen - ni 


Amazon unterstützt verschiedene 
Blogging-Plattformen (Abb. 7). 


Abschließend sei erwähnt, dass die 
Widget-Erzeugung auf zahlreiche Blog- 
sites vorbereitet ist, von Wordpress über 
Blogger bis zu Myspace. Der Benutzer 
bekommt detaillierte Anleitungen zur 
Integration des erzeugten Codes in sein 
Blog. 


Fazit 


Amazon stellt mit seinen Widgets ein- 
fache und sinnvolle Werkzeuge zur 
Verfügung. Für den Benutzer, der mit 
seiner Site Geld verdienen möchte, sind 
die Schnittstellen zu Amazon im Ver- 
gleich zu den Anfangszeiten gleichzei- 
tig einfacher und funktionsreicher ge- 
worden. Die Unterstützung beliebter 
Blogsites zeigt eindeutig, dass Amazon 
die Zielgruppe der Web-2.0-Aktivisten 
ansprechen will. (hb) 
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Entwurfsmuster 


Flexibel programmieren mit dem Fluent Interface 


Flüssiger Erbauer 


Bernd Schiffer 


Diverse Paradigmen sollen Entwicklern helfen, große 

Projekte klar zu strukturieren und den Überblick zu bewahren. 
Nicht immer geht das einher mit Verständlichkeit und guter 
Lesbarkeit von Programmen. Das Entwurfsmuster Builder 
zusammen mit dem Fluent Interface können hier helfen. 


as Entwurfsmuster „Erbauer“ 
D (Builder) ist in die Jahre gekom- 

men. Neue Möglichkeiten beim 
Erstellen komplexer Objektgeflechte 
ergeben sich bei der Implementierung 
einer sogenannten „flüssigen Schnitt- 
stelle‘ (Fluent Interface, siehe „Online- 
quellen“ [a]). Dieser Artikel beschreibt 
evolutionär in wenigen Schritten eine 
solche Schnittstelle, ausgehend von ei- 
ner klassischen Objekterzeugung. 

Bei großen Applikationen spielt 
fast immer die Anbindung externer 
Systeme eine Rolle. Hierbei werden 
Daten ausgetauscht, die ein Drittsys- 
tem meist in einem vorgegebenen For- 
mat übermitteln soll. In vielen Fällen 
handelt es sich dabei nicht um Stan- 
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dards wie XML, sondern um proprie- 
täre Formate. Eins davon soll diesem 
Artikel als Beispiel dienen. Das For- 
mat besteht aus Abschnitten, von de- 
nen jeder eine Menge von Werten auf- 
nimmt, die an bestimmten Stellen des 
Abschnitts notiert werden. Eine for- 
male Spezifikation dieses Formats 
sieht so aus: 


(Abschnitt[$stelle:wert] * $)+ 


Zu lesen ist diese Notation wie folgt: 
„Mindestens ein Abschnitt nimmt be- 
liebig viele Tupel von Stellen zu Wer- 
ten auf, wobei vor jedem Tupel ein 
Dollarzeichen steht und jedem Ab- 
schnitt ein Dollarzeichen folgt.“ Ein 
Beispiel wäre: 


abschnitt$ 1:wert$3:anderer_wert$anderer_ 7 
abschnitt$42:wieder_anderer_wert 


Dieses Beispiel soll als Anschauungs- 
objekt für eine API dienen. Deren Code 
ist in einer für viele deutschsprachige 
Projekte typischen Mischform aus deut- 
scher und englischer Sprache gehalten. 
Der Vorteil dabei ist, dass beim — zu- 
mindest national gesehen deutschspra- 
chigen — Kunden Begriffe wie Abschnitt, 
Wert und Stelle zum Sprachgebrauch 
gehören und die Entwickler somit we- 
niger Kontextwechsel durchführen müs- 
sen, als wenn sie diese Begriffe ins 
Englische übersetzten. 


Feste API 
unterbindet Flexibilität 


Eine klassische API für diesen Anwen- 
dungsfall besteht aus den zwei Klassen 
Abschnitt und AbschnittUtil. Listing 1 
zeigt einen Ausschnitt der Testklasse 
AbschnittTest. Abschnitte können dem- 
nach Werte für Stellen aufnehmen, und 
man kann diese Werte für eine be- 
stimmte Stelle wiederfinden. Um den 
Abschnitt zu erzeugen, erfolgt zunächst 
seine Instanziierung über einen De- 
fault-Konstruktor. Per Setter für die 
Instanzvariable name wird der Ab- 
schnittsname gesetzt. Schließlich wer- 
den zwei Werte an zwei verschiedene 
Stellen geschrieben. 

Der Test benötigt eigentlich „einen 
Abschnitt mit Namen abschnittsname 
mit Wert a an Stelle / und mit Wert b 
an Stelle 2“. Tatsächlich aber wurde 
ihm bislang etwas vorgesetzt, was Zu- 
sammengefasst und ohne Variablen so 
aussieht: 

Abschnitt abschnitt = new Abschnitt); 
abschnitt.setName["abschnittsname"); 


abschnitt.add(1, "a"); 
abschnitt.add(2, "b"); 


Dies liest sich weitaus holpriger als im 
normalen Sprachgebrauch. Es ist faszi- 
nierend, zwei Programmierern dabei 
zuzuhören, wie sie sich gegenseitig 
beispielsweise beim Pair Programming 
Code dieser Art vorlesen. Anstatt so et- 
was zu sagen wie „Hier benötigen wir 
einen Abschnitt mit Namen abschnitts- 
name mit Wert a an Stelle /“, was ein 
grammatikalisch korrekter deutscher 
Satz wäre, sagen sie etwa „Hier ma- 
chen wir einen new Abschnitt und set- 
zen danach den abschnittsnamen und 
dann adden wir noch / Komma a“. 
Ein naiver Ansatz zur Lösung die- 
ses Lesbarkeitsproblems ist die Ein- 
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führung eines entsprechenden Kon- 
struktors, etwa: 


public Abschnitt[String name, 
Abschnittseintrag eintrag...) { 
/* Implementierung */} 


Hierbei ist ein Abschnittseintrag nur ei- 
ne Hilfsklasse zur Aufnahme einer 
Stelle und eines dazugehörigen Wer- 
tes. Der Aufruf erfolgt dann so: 


Abschnitt abschnitt = 
new Abschnitt["abschnittsname", 
new Abschnittseintrag(1, "a"), 
new Abschnittseintrag(2, "b")] 


Damit ist die Konstruktion eines Ab- 
schnitts auf eine Anweisung reduziert, 
allerdings auf Kosten der Flexibiliät: Für 
jede anderweitige Konstruktion eines 
Abschnitts müsste der Konstruktor res- 
pektive die Factory-Methode überladen 
werden, etwa wenn Abschnitte mit IDs, 
Validatoren, Konvertern, Typen und an- 
deren für die Konstruktion nötigen Tei- 
len gebaut würden. Da wäre die Über- 
sicht bald nicht mehr gegeben, und ein 
armer Programmierer mag sich bald fra- 
gen, welchen der vielen Konstruktoren 
er aufrufen muss. Nicht gut. 

Erforderlich ist zudem, dass der Pro- 
grammierer weiß, ob das gerade ge- 
baute Objekt konsistent ist. Eine kurze 
Definition für die Konsistenz eines Ab- 
schnitts besagt: „Ein Abschnitt muss 
immer einen Namen haben. Er darf kei- 
ne bis beliebig viele Stelle-Wert-Paare 
haben.“ Diese Information steht jedoch 
nicht zum Konstruktionszeitpunkt - al- 
so beim Programmieren — zur Verfü- 
gung, sondern zeigt sich gegebenenfalls 
erst zur Laufzeit durch schwer nach- 
vollziehbare Fehlermeldungen. Das 
heißt, Entwickler haben es mit einer un- 
lesbaren, unflexiblen, unübersichtlichen 
und inkonsistenten — einer fest(gefah- 
ren)en — API zu tun. 


Zartschmelzende API 
gefährdet Konsistenz 


Stattdessen lässt sich ein Abschnitt 
auch folgendermaßen konstruieren: 


Abschnitt abschnitt = 


Abschnitt.mitNamen("abschnittsname") 
‚mitWert("a"].anStelle(1) 
„undMitWert("b").anS$telle(2]; 


Diese Konstruktion liest sich wie die 
umgangssprachlich Formulierung oben, 
lediglich ein paar sprachbedingte Punk- 
tionen stören noch die freie Rede. Diese 
Art der Erzeugung gegen eine Schnitt- 
stelle, die solch eine flüssige Formulie- 
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rung zulässt, nennt sich Fluent Inter- 
face. Es ermöglicht dem Entwickler den 
Sprung von einer API hin zu einer DSL, 
einer Domain Specific Language [b, c], 
die die Konstruktion von Objekten für 
den Anwender einer Schnittstelle stark 
vereinfacht. Martin Fowler und Eric 
Evans haben diesen Begriff geprägt und 
das Pattern herausgearbeitet. Die flüssi- 
gen Schnittstellen sind stark im Domain 
Driven Design [1] vertreten, ihre Wur- 
zeln reichen jedoch deutlich weiter zu- 
rück: Smalltalker und Lispler sind in der 
Regel damit vertraut. Es gibt aber auch 
in modernen Programmiersprachen mitt- 
lerweile gute Beispiele für die Anwen- 
dung dieses Pattern, etwa Java-Biblio- 
theken wie JUnit, Easymock und JMock 
oder die Web-Frameworks Ruby on 
Rails und Grails. 

Die Implementierung einer flüssigen 
Schnittstelle ist ungleich anspruchsvol- 
ler als die einer klassischen, festen. Ein 
naiver Ansatz, der — euphemistisch ge- 
sehen - eher zartschmelzend als flüssig 
daherkommt, sähe aus wie Listing ?2. 

Damit kann ein Benutzer einen Ab- 
schnitt schon flüssig konstruieren. Es 
fällt zunächst auf, dass Setter-Metho- 
den einen Rückgabewert haben kön- 
nen, hier jeweils das zu konstruierende 
Objekt. Erst diese Eigenschaft der 
Setter einer flüssigen API ermöglichen 
eine Aneinanderreihung von Metho- 
denaufrufen und damit einen gram- 
matikalisch korrekten Satzbau. 

Hinzu kommt, dass diese Notation 
von der in Java verbreiteten Konvention 
abweicht, für Methoden Befehle in 
Form von Imperativen zu verwenden, 
etwa initialisiere(), add() oder getFoo(). 
Der Vorteil der Konvention ist, dass 
beim Blick auf die an einem Objekt auf- 
zurufenden Methoden anhand des Me- 
thodennamens klar wird, welche Befeh- 
le das Objekt entgegennehmen kann. 

Bei einem flüssigen Interface gibt es 
viele Methoden, deren Namen wenig 
Aussagekraft über ihre Verwendbarkeit 
haben. Beispiele dafür sind mit, in, und- 


Listing 1: Ausschnitt aus AbschniftTest 


Nest 
public void nimntlertefuer$tellenAuf() throws Exception { 
Abschnitt abschnitt = new Abschnitt(); 
abschnitt.setNane("abschnittsnane"); 
final String ersterkert = "a"; 
final int erstestelle = 1; 
final String zweiterWert = "b"; 
final int zweitestelle = 2; 
abschnitt.add(ersteStelle, ersterkert); 
abschnitt.add(zweitestelle, zweiterkert); 
assertThat(ersterkert, isCabschnitt.findeWertAnstelle 
(erstestelle))); 
assertThat(zueiterWert, is(abschnitt. findeWertAnstelle 
(zweitestelle))); 


Listing 2: 
Erster Schritt zum Fluent Interface 


public class Abschnitt { 
Nap werteZuStellen = new Hashllap(); 
private String letzterlert; 
private String name; 
public Abschnitt mitWert(String wert) { 
return setLetzterlert(wert); 


} 

private Abschnitt setLetzterWert($tring wert) { 
letzterlert = wert; 
return this; 


} 

public Abschnitt undMitWert(String wert) { 
return setLetzterlert(wert); 

} 


public Abschnitt anstelle(int stelle) { 
werteZuStellen.put(stelle, letzterkert); 
return this; 


} 

public String getName() { 
return nane; 

} 


public static Abschnitt mitNamen($tring nane) { 
final Abschnitt abschnitt = new Abschnitt); 
abschnitt.name = nane; 
return abschnitt; 


/* weitere Methoden */ 


Mit oder ansStelle. Diese Methoden sind 
nur aus dem Kontext, also dem Satzbau, 
heraus interpretierbar. Es ist zwar recht 
einfach, flüssige Schnittstellen als solche 
aufgrund der Methodennamen zu identi- 
fizieren und sich als Programmierer von 
der vorgegebenen Grammatik leiten zu 
lassen, jedoch steigt der Schwierigkeits- 
grad mit der Größe der Schnittstelle. 
Lesbarer ist die Objektkonstruktion 
mittlerweile und flexibler ebenfalls: Die 
Methoden lassen sich beliebig miteinan- 
der verknüpfen. Neue Attribute am Ob- 
jekt kann man quasi sofort bei der Kon- 
struktion verwenden und muss sie nicht 
erst in die Konstruktoren einarbeiten. 
Allerdings schießt diese Flexibilität weit 
übers Ziel hinaus, denn wenn die Me- 


inkonsistente Schnittstellen. 


A-TRACT 


© Obwohl Entwurfsmuster wie „Erbauer” (Builder) die Entwicklung einer Anwendung 
deutlich erleichtern können, verhindern sie nicht zwangsläufig unflexible oder 


© Schnittstellendefinitionen, die sich wie umgangssprachliche Formulierungen lesen 
und einer internen Grammatik folgen, gewährleisten eine konsistente Objekterzeugung. 


© Die Kombination des Builder Pattern mit einem sogenannten Fluent Interface erleich- 
tert die Definition solcher Schnittstellen erheblich. Das Ergebnis dieser Kombination 
ist eine interne domänenspezifische Sprache. 
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Entwurfsmuster 


mitNamenÜ 


undMitWerO - 
anStelle() 


unfertiger Zustand 


wird zu 
WerZuStelleDescriptor 


Der Deskriptor verhindert, dass ein Abschnitt während seiner Konstruktion in 


einen unfertigen Zustand gerät (Abb. 1). 


Isst AbschnifTes! 


retsın desknptor 


Die Implementierung auf Basis des Entwurfsmusters „Befehl“ bewirkt, dass 
mitWert nur die öffentlichen Methoden des Deskriptors aufrufen kann (Abb. 2). 


thoden beliebig miteinander verknüpf- 
bar sind, ist keine Konsistenz des kon- 
struierten Objekts zu gewährleisten: 


Abschnitt abschnitt = 
Abschnitt.mitNamen("abschnittsname") 
‚mitWert("a").mitWert("b").anStelle(2]; 


Offensichtlich hat der Konstrukteur hier 
vergessen, den Wert a an die Stelle / zu 
schreiben. Das Verhalten dieses halb- 
fertigen Objekts ist nicht ersichtlich, 
ohne den Quellcode der Abschnitts- 
klasse zu studieren. Dies jedoch sollte 
wiederum für eine gute API unnötig 
sein; selbsterklärende Schnittstellen er- 
höhen ihre Benutzbarkeit enorm. 

Leider konnte die zartschmelzende 
Variante die Unübersichtlichkeit der 
festen API nicht beseitigen. Hierzu ein 
Blick auf die Code-Vervollständigung: 
Eine IDE bietet bei der Code Comple- 
tion auf eine Tastenkombination hin all 
die Codestücke wie Variablen, Metho- 
den und Klassen an, die an der Stelle, 
an der sich der Cursor befindet, sinn- 
voll sind. Insbesondere dient dies dazu, 
an Objekten diejenigen Methoden aus- 
findig zu machen, die an ihm aufge- 
rufen werden können. So lässt sich 
schnell durch eine API navigieren und 
Code niederschreiben. 

Abschnitt mitNamen(String name) ist 
die einzige statische Methode, die durch 
Code-Vervollständigung an der Ab- 
schnittsklasse angeboten wird, sodass 
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der Benutzer nichts falsch machen kann. 
Die zur Konstruktion von Abschnitten 
gedachten Objekt-Methoden dagegen 
sind Abschnitt mitWert(String wert), 
undMitWert(String wert) sowie Ab- 
schnitt anStelle(int stelle). Es ist jetzt für 
den Benutzer nicht ersichtlich, welche 
Methoden er aufrufen darf (mirWert() 
sowie undMitWert()) und welche nicht 
(anStelle()). Selbst die Reihenfolge 
der Code-Aufrufe könnte vertauscht 
werden: Statt .mitWert("a").anStelle(1) 
könnte der Entwickler .anStelle(1). 
mitWert("a") schreiben — und sich zu 
Recht wundern, warum er keinen 
brauchbaren Abschnitt erzeugen konnte. 
Hier hilft ihm auch die deutsche Gram- 
matik nicht weiter, denn die Sätze „Ab- 
schnitt mit Wert a an Stelle 1“ und ‚„‚Ab- 
schnitt an Stelle 1 mit Wert a“ folgen 
beide einem legitimen Satzbau. 


Flüssige API muss 
Aufgaben delegieren 


Diese beiden Einschränkungen — in- 
konsistente Objekterzeugung und unzu- 
reichende Vorgabe der Grammatik 
durch Code Completion — lassen diese 
Implementierung eines Abschnittes 
nicht flüssig, sondern eher zartschmel- 
zend erscheinen. 

Ein vollständiger Übergang in den 
flüssigen Aggregatzustand lässt sich 


durch eine Grammatik erreichen. Dies 
bedeutet, die Reihenfolge der erlaubten 
Methodenaufrufe zu analysieren und 
die Stellen zu identifizieren, die das zu 
konstruierende Objekt in einem inkon- 
sistenten und damit unbrauchbaren Zu- 
stand hinterlassen. Ein Zustandsdia- 
gramm hilft da weiter (Abbildung 1). 

Der Einstieg in die Konstruktion er- 
folgt direkt bei der Klasse Abschnitt. 
Von hier aus kann die Methode mitNa- 
men() aufgerufen werden und liefert ei- 
nen konsistenten Abschnitt ohne Werte 
zurück. Die Methoden mitWert() sowie 
undMitWert() hingegen dürfen keinen 
Abschnitt zurückliefern. Bei ihrem Auf- 
ruf ist der Abschnitt in einem inkonsis- 
tenten und unfertigen Zustand. Erst ein 
weiterer Methodenaufruf von ansStelle() 
liefert einen konsistenten Abschnitt. 

Es kann viele unfertige Zustände 
während der Konstruktion eines Objek- 
tes mittels eines Fluent Interface geben. 
Sie zu identifizieren ist aber nur die hal- 
be Miete; unfertige Zustände werden in 
sogenannten Deskriptoren implemen- 
tiert. Durch den Einsatz eines Deskrip- 
tors muss die Abschnittsklasse nicht 
mehr sich selbst zurückgeben, wenn mit- 
Wert() oder undMitWert() an ihr aufge- 
rufen wird. Der Benutzer erhält statt ei- 
nes Objekts vom Typ Abschnitt eins 
vom Typ des Deskriptors. In diesem 
Fall soll er WertZuStelleDescriptor hei- 
ßen. Der Benutzer kann jetzt nur noch 
die Methoden aufrufen, die der Deskrip- 
tor bereitstellt. Code wie der folgende 
würde nun nicht mehr kompilieren: 


Abschnitt abschnitt = 
Abschnitt.mitNamen("abschnittsname") 
„mitWert("a").mitWert["b").anStelle[2); 


Der erste Aufruf von mitWert() liefert 
einen Deskriptor zurück, an dem ein er- 
neuter Aufruf von mitWert() nicht er- 
laubt ist. Somit kann das Programm nur 
noch konsistente Objekte erzeugen. 

Zwar ist die Arbeit mit dem Descrip- 
tor-Entwurfsmuster gewöhnungsbedürf- 
tig, aber dafür flexibel ausbaubar. Des- 
kriptoren können andere Deskriptoren 
zurückgeben und somit Grammatiken 
beliebiger Komplexität realisieren. 

Ebenfalls gelöst durch den Einsatz 
von Deskriptoren ist die unzureichende 
Vorgabe der Grammatik durch Code 
Completion: Überall im Quellcode wer- 
den bei der Erzeugung des Abschnittes 
nur die Methoden angeboten, die der de- 
finierten Grammatik entsprechen. Den 
um den Einsatz von Deskriptoren modi- 
fizierten Abschnitt zeigt Listing 3. 

Die deutlichste Änderung ist in der 
Methode mitWert() zu sehen: Durch 
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einen Callback-Aufruf mit dem Inter- 
face WertZuStelleAddierer wird an- 
stelle eines Abschnitts ein Abschnitt- 
WertZuStelleDescriptor zurückgegeben. 
Die Frage ist, warum hier eine anonyme 
Klasse zum Einsatz kommt, anstatt dass 
der Abschnitt dem Deskriptor gleich ei- 
ne Referenz des zu konstruierenden Ab- 
schnitts, also sich selbst, übergibt. In der 
klassischen Implementierung eines Ab- 
schnitts gibt es eine Methode ada(String 
wert, int stelle), die der Deskriptor direkt 
aufrufen könnte. 

Wenn der Deskriptor eine Referenz 
auf Abschnitt setzt, bedeutet das aller- 
dings eine zyklische Abhängigkeit zwi- 
schen ihm und dem Abschnitt, ergo 
schlechtes Design. Aus Sicht des Fluent 
Interface gibt es noch einen pragmati- 
schen Grund, dies zu vermeiden. Bei der 
Konstruktion des Objekts sollen keine 
Methoden mitwirken, die außerhalb der 
definierten Grammatik sind. add() wäre 
genau solch eine Methode. Ihren Aufruf 
verhindert das Interface WertZus$telle- 
Addierer. Listing 4 zeigt den Code des 
Addierers und des Deskriptors. 

Das Sequenzdiagramm in Abbil- 
dung 2 soll das verdeutlichen. Zunächst 


wird ein Abschnitt vom Test mitNa- 
men() erzeugt. Für den Addierer gibt 
das Interface nur die Schnittstelle vor, 
und die dazugehörige anonyme Klas- 
se bestimmt die Implementierung an- 
hand des Entwurfmusters „Befehl“ 
(Command). Der Deskriptor nimmt 
den Addierer auf und ruft ihn zusam- 
men mit dem Wert auf, sobald der 
Konstrukteur an der Abschnittsklasse 
mitWert() aufruft. Der Aufrufer hat 
dann nur noch die Möglichkeit, die öf- 
fentlichen Methoden des Deskriptors 
aufzurufen, also die nächsten gramma- 
tikalisch validen Schritte zu gehen. In 
diesem Fall ist dies die Methode an- 
Stelle() und der Rückgabewert ist wie- 
der Abschnitt. 

Dank der flüssigen Schnittstelle ist 
die Lesbarkeit des Codes nach wie vor 
gegeben, und die definierte Grammatik 
garantiert Flexibilität und Konsistenz. 
Darüber hinaus ist die API jetzt über- 
sichtlich — allerdings nur für die Kon- 
struktion. Nicht so gut steht es mit der 
weiteren Verwendung im Lebenszyklus 
des Objekts, denn an einem fertig kon- 
struierten Objekt können nun folgende 
Methoden aufgerufen werden: 


Listing 3: Erweiterung um einen Deskriptor 


public class Abschnitt { 
private final Map werteZuStellen = new Hashlap(); 
private String nane; 
public static Abschnitt mitNamen($tring name) { 
Abschnitt abschnitt = new Abschnitt); 
abschnitt.name = name; 
return abschnitt; 


public AbschnittWertZuStelledescriptor mitWert(String wert) € 
final Abschnitt abschnitt = this; 
final WertZuStelleAddierer addierer = new WertZuStelleAddierer() { 
public Abschnitt addWertZustelle(String wert, int stelle) € 
werteZuStellen.put(stelle, wert); 
return abschnitt; 


} 
return new AbschnittWertZuStelledescriptor(addierer, wert); 


} 
public AbschnittWertZuStelledescriptor undMitWert(String wert) { 
return mitlert(wert); 


} 
public String getName() { 
return name; 


I* weitere Methoden */ 


Listing 4: Addierer und Deskriptor 
public class AbschnittWertZustelledescriptor { 


private WertZuStelleAddierer addierer; 
private String letzterlert; 
public AbschnittlWertZuStelledescriptor(WertZuStelleAddierer addierer, 
String letzterlert) { 
this.addierer = addierer; 
; this. letzterlWert = letzterlert; 
public Rueckgabe anstelle(int stelle) € 
return addierer.addWertZuStelle(letzterkert, stelle); 
} 
} 
public interface WertZustelleAddierer { 
\ Rueckgabewert addWertZuStelle(String wert, int stelle); 
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Entwurfsmuster 


ErzeugeAbschnitt 


private abschnitt 


Abschnitt 


private Map<Integer, String> werteZuStelle 
private String name 


private ErzeugeAbschnitt ErzeugeAbschnitt(String name 
public ErzeugeAbschnitt mitNamelString name) 


public Abschnitt jetztÜ 


public AbschnittWertZuStelleDescriptor<ErzeugeAbschnitt> mitWert{String wert) 
public AbschnittWertZuStelleDescriptor<ErzeugeAbschnitt> undMitWert@ßString wert) 


7] public String getName00 
public void setNameßString name) 

public void puttint stelle, String wert) 
public boolean harWert (String wert) 
public String findeWertAnstellefint stelle) 


Der erzeugte Abschnitt beschränkt sich auf die Repräsentation und hat keine 
konstruierenden Methoden mehr (Abb. 3). 


— static Abschnitt mitNamen(String 
name) 

— AbschnittWertZuStelleDescriptor mit- 
Wert(String wert) 

— AbschnittWertZuStelleDescriptor 
undMitWert(String wert) 

— String finde WertAnStelle(int stelle) 

— boolean hatWert(String wert) 

- String getName() 

Die ersten drei Methoden — die des 
Fluent Interface — dienen zur Konstruk- 
tion eines Abschnitts und werden am 
fertig gebauten Objekt nicht mehr be- 
nötigt. Hier sind Methoden mit entspre- 
chender Logik gefragt, wie sie bei den 
beiden nächsten Methoden gegeben ist, 
oder abfragende Methoden wie die 
letzte. Schließlich bleibt die Frage of- 
fen: Wie kann man einem fertigen Ob- 
jekt später ein weiteres Stelle-Wert- 
Paar hinzufügen? Das wäre über die 
Methoden des Fluent Interface mög- 
lich, allerdings drücken solche Satzfet- 
zen nicht mehr aus, was sie tun: 


abschnitt.mitWert("weiterer wert").anStelle[5); 


Methoden zur Konstruktion eigenen 
sich nicht zur späteren Manipulation 
eines Objekts. Hinzu kommt, dass die 
Abschnittsklasse zwei Aufgaben gleich- 
zeitig übernimmt: die Konstruktion ei- 
nes komplexen Datentyps (sich selbst) 
sowie die Datenhaltung samt Logik. 
Dies aber widerspricht dem Prinzip des 
„Separation of Concerns“ (SoC) [d], das 
besagt, dass eine Klasse nur eine Auf- 
gabe erfüllen sollte. 


Flüssiger Erbauer 
trennt Belange 


Die Rettung naht in Form des Erzeu- 
gungsmusters „Erbauer“ (Builder). 
Ein Erbauer trennt die Repräsentation 
eines Objekts von seiner Konstruk- 
tion, in diesem Falle die konstruieren- 
den Methoden (und wofür sie stehen) 
vom Rest des Abschnitts. Ein Erbauer 
in Kombination mit einer flüssigen 
Schnittstelle, von Fowler „Expression 
Builder“ [e] genannt, ist eine deutli- 
che Bereicherung im Hinblick auf die 
Lesbarkeit: 


130 


Abschnitt abschnitt = 
ErzeugeAbschnitt.mitNamen("abschnittsname"). 
mitWert("a").anStelle(1). 
undMitWert("b").anStelle(2).jetzt(); 


Zuerst fällt auf, dass der Erbauer selbst 
mit einem Verb statt mit einem Nomen 
benannt ist. Dieser Kniff [f] lässt nun 
einen vollständigen Satz im Imperativ 
entstehen: 

„Erzeuge Abschnitt mit Namen ab- 
schnittsname mit Wert a an Stelle / 
und mit Wert b an Stelle 2, jetzt! 

Zurück gibt der Flüssige Erbauer ein 
Objekt vom Typ Abschnitt, der keine 
konstruierenden Methoden mehr hat 
und sich ganz um die Repräsentation 
seiner selbst kümmern kann. Abbil- 
dung 3 zeigt die API der Klassen Er- 
zeugeAbschnitt und Abschnitt. 

An dieser Stelle lässt sich einwenden, 
dass noch kein Separation of Concerns 
stattgefunden hat. Immerhin gibt es ja 
noch Methoden wie setName(String 
name) und put(int Stelle, String wert). 
Doch hier ist zu unterscheiden zwischen 
konstruierenden und verändernden Me- 
thoden. Alle konstruierenden sind jetzt 
am Builder verankert. Ob das Objekt 
nach der Konstruktion noch veränderbar 
sein darf, ist eine Designentscheidung, 
die unabhängig von der Konstruktion 
ist. In diesem Fall ist die Entscheidung 
für ein veränderliches Objekt gefallen; 
unveränderliche Objekte hätten keine 
solchen modifizierenden Methoden. 

Eine Besonderheit stellt die Methode 
Jetzt() an der Erbauer-Klasse Erzeuge- 


Abschnitt dar. Prinzipiell könnte man ei- 
nem Abschnitt beliebig viele Werte hin- 
zufügen. Hierzu muss stets der Erbauer 
herhalten, und so gibt jede Methode, die 
einen Wert für eine Stelle aufnimmt, 
letztendlich ein Objekt vom Typ Erzeu- 
geAbschnitt zurück. Will man jedoch 
keinen Wert mehr hinzufügen, soll der 
Rückgabewert ein Abschnitt sein. Dies 
erreicht der Aufruf von jetzt(), der den 
Verantwortungsbereich des flüssigen 
Erbauers terminiert. Von hier an ist 
der Abschnitt auf sich allein gestellt. 
(Ein lauffähiges Beispiel ist über den 
iX-Listingservice erhältlich.) 


Fazit 


Durch evolutionäres Design getriebenen 
entwickelte sich aus einer „festen AP“, 
die unlesbar, unflexibel, unübersichtlich 
und inkonsistent war, zunächst eine 
„zartschmelzende APTI“. Diese war je- 
doch unübersichtlich aufgrund eines nai- 
ven Entwurfes, der keine Grammatik 
berücksichtigte, und ermöglichte eine 
inkonsistente Objekterzeugung. Hieraus 
entwickelte sich ein Objekt mit einer 
„flüssigen Schnittstelle“, das eine Gram- 
matik vorgegeben hat und damit eine 
konsistente Objekterzeugung gewähr- 
leistete. Lediglich die Übersichtlichkeit 
bei der Betrachtung der Objektschnitt- 
stelle war noch verbesserungsbedürftig. 
Hierfür sorgte der letzte Schritt in der 
Evolution des Beispiels: der „flüssige 
Erbauer“. (ka) 
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Entwicklung mit dem iPhone SDK 
Ein bisschen 
Freiheit 


Das iPhone hat zwar großes Potenzial. Um weitere 
Kunden zu gewinnen, braucht Apple jedoch mehr 
Anwendungen. Diesen Bedarf soll das vor Kurzem 

veröffentlichte iPhone SDK decken, indem es Entwickler für 


dukte jahrelang höchstens als De- 

signgegenstand wahr. Dies hat sich 
unter anderem durch den iPod und die 
Vielfalt seiner Modelle schlagartig ver- 
ändert. Er hat vielen gezeigt, dass Apple 
nicht nur schöne, sondern auch einfach 
zu bedienende Geräte herstellen kann. 
Das motivierte etliche iPod-Besitzer, es 
einmal mit einem Mac zu versuchen. Ei- 
nen ähnlichen Effekt wie bei den End- 
benutzern möchte Apple nun via iPhone 
bei Unternehmenskunden erreichen. Hier 
gilt es vor allem, einen Konkurrenten zu 
verdrängen: den Blackberry. 

Ein wichtiger Schritt dahin war die 
Lizenzierung von Microsofts Active- 
sync für Exchange und seine Integra- 
tion in die kommende Version 2.0 des 
iPhone-Betriebssystems. Sie soll als 
kostenloses Firmware-Update Ende Ju- 
ni 2008 zu Verfügung stehen. Active- 
sync kann dem Telefon per Push bei- 
spielsweise die E-Mails, Kontakte und 
Termine vom Exchange-Server schicken 


E ndbenutzer nahmen Apples Pro- 


Markus Stäuble 


das Gerät motiviert. 


(siehe www.apple.com/de/iphone/enter 
prise/) — eine Fähigkeit, die für viele 
Unternehmen kaufentscheidend sein 
dürfte. Mit dem Anfang März veröf- 
fentlichten SDK können Firmen nun 
erstmals nicht nur Webprogramme, 
sondern native iPhone-Anwendungen 
erstellen. Mit der Publizierung des 
iPhone SDK stellte KPCB (Kleiner Per- 
kins Caufield & Byers) 100 Millionen 
US-Dollar als Risikokapital „iFund“ 
zur Verfügung (siehe Onlinequellen 
[a]). Es soll Anreiz für Entwickler und 
Unternehmen sein, sich eine Existenz 
mit der Entwicklung von Applikationen 
für iPhone oder iPod touch aufzubauen. 


Ein großes 
Paket nur für Mitglieder 


Erster Schritt zur Entwicklung einer ei- 
genen Anwendung mit dem neuen 
iPhone SDK ist die kostenlose Mit- 
gliedschaft bei der Apple Developer 


A-TRACT 


© Mit einem SDK für das iPhone und den iPod touch sollen Entwickler eigene 
Anwendungen für die Geräte erstellen können. Damit verabschiedet sich Apple 
davon, nur Webanwendungen darauf zuzulassen. 


@ Die Erstellung von iPhone-Programmen erfolgt mit derselben IDE wie für Mac- 
Software. Auch die Programmiersprache Objective-C ist identisch. 


© Drittanbieter können ihre Anwendungen nur über den iTunes-Shop vertreiben und 
müssen ihre Einnahmen mit Apple teilen. 
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Connection (ADC), ohne die der Down- 
load des SDK und somit eine Entwick- 
lung nicht möglich ist. Beim Herunter- 
laden dürfte viele die Größe des Pakets 
(2,1 GByte für die Beta 1 und immer 
noch 1,36 GByte für die Beta 2) aller- 
dings förmlich erschlagen. 

Für die Dokumentation steht immer- 
hin ein Aktualisierungsdienst zur Ver- 
fügung, und da sich derzeit viel ändert, 
empfiehlt sich seine tägliche Nutzung. 
Neben dem reinen Softwarepaket bietet 
ADC zahlreiche Dokumentationen, un- 
ter anderem Videos, die es auch kosten- 
los via iTunes gibt. Vor allem die Code- 
Beispiele helfen beim Einstieg in die 
iPhone/iPod-touch-Entwicklung. 

Auf dem iPhone und dem iPod touch 
läuft eine Variante von Mac OS X. Des- 
halb erfolgt die Programmierung einer 
Applikation für diese Geräte wie bei ei- 
nem herkömmlichen Mac in der Pro- 
grammiersprache Objective-C, ein mit 
Smalltalk-ähnlicher Objektorientierung 
aufgepepptes C. 

Für viele Entwickler bedeutet diese 
Sprache Neuland, das sie zunächst 
gründlich erkunden müssen. Einen Ein- 
blick in die Syntax von Objective-C 
gibt es beim ADC [c]. Neben der rei- 
nen Syntax ist vor allem für Java- und 
‚Net-Programmierer wichtig, dass Ob- 
jective-C keinen Garbage Collector 
kennt, sondern dass sie sich selbst um 
das Aufräumen nicht mehr benötigter 
Ressourcen kümmern müssen — wie in 
C und C++. Das Framework zur An- 
wendungsentwicklung nennt sich Co- 
coa Touch, analog zu Cocoa für Mac 
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OS X. Es ist die oberste Schicht inner- 
halb des iPhone OS; darunter liegen 
Media, Core Services und Core OS. Bei 
der Entwicklung sollte man Methoden 
aus höher liegenden Schichten bevorzu- 
gen, also am besten aus Cocoa Touch. 


Neue, alte 
Entwicklungsumgebung 


Da das iPhone das Framework Cocoa 
Touch verwendet, lag es nahe, die für 
Mac OS X eingesetzte IDE XCode zu 
benutzen. Sie enthält alle notwendigen 
Funktionen einer ausgewachsenen Ent- 
wicklungsumgebung. 

XCode bietet folgende Möglichkeiten: 
— iPhone-Verwaltung mit dem Organi- 
zer: Installation, Aktualisieren und Ent- 
fernen von Anwendungen auf dem 
iPhone; 

— Entwicklung des Codes; 

— Übersetzen und Erzeugen der An- 
wendung für die Installation; 

— Hilfe bei der Fehlersuche in der An- 
wendung, unabhängig davon, ob sie im 
Simulator oder auf dem Gerät läuft; 

— Analysen mit Instruments, unter an- 
derem Performance-Analysen; 

— Unterstützung durch Onlinehilfe und 
Code-Vervollständigung. 

Anhand einer einfachen To-do-Liste 
zur Verwaltung von Aufgaben sei kurz 
skizziert, welche Schritte notwendig 
sind, um eine eigene Anwendung zu er- 
stellen. Der Code steht auf dem iX-Lis- 
tingserver zum Herunterladen bereit. 
Den besten Start ins Programmieren für 
das iPhone bildet eins der von Apple 
mitgelieferten Beispiele. Dadurch ist 
der notwendige Infrastrukturrahmen 
vorhanden. Falls man unbedingt direkt 
auf der grünen Wiese eine Applikation 
entwickeln möchte, empfiehlt es sich in 
XCode über „File -> New Project -> 
Cocoa Touch Application“ das Grund- 
gerüst zu erstellen. 

Die To-do-Liste soll das Eingeben 
und Ändern von Aufgaben erlauben, 


sie in einer Liste anzeigen (überfällige 
in einer anderen Farbe) und eine Funk- 
tion zum Löschen erledigter Aufgaben 
bieten (siehe Abb. 1). Die Daten selbst 
speichert die SQL-Datenbank SQOLite. 
Ausgangspunkt für diese Anwendung 
war das von Apple zur Verfügung ge- 
stellte SOLiteBooks. 

Eine wesentliche Aufgabe bei der 
Entwicklung einer iPhone-Applikation 
ist das Gestalten der Oberfläche. Hierfür 
waren mit der Beta I des SDK noch 
mühsame Arbeiten direkt im Quellcode 
nötig. Größte Änderung der Ende März 
veröffentlichen Beta 2 ist der dort mit- 
gelieferte grafische Interfacebuilder (sie- 
he Abb. 2). 


Ein Fenster 
pro Anwendung 


Wichtig bei der Gestaltung von Ober- 
flächen für das iPhone ist, dass Anwen- 
dungen hauptsächlich aus einem Ap- 
plikationsfenster (Basisklasse für alle 
Fenster ist U/View) bestehen, das Ele- 
mente wie die Navigationsleiste auf- 
nehmen kann. 

Zur Ablaufsteuerung innerhalb der 
Applikation dienen Events in den Con- 
troller-Klassen. Die GUI-Elemente lie- 
gen wie in einem Stapel aufeinander und 
bilden die sogenannte View Hierarchy. 
Ein Button der Navigationsleiste liegt 
darin über ihr. Löst der Benutzer ein Er- 
eignis aus, sendet das Framework es zu- 
nächst an das oberste Element der View 
Hierachy. Wenn dieses den Event nicht 
verarbeitet, erreicht er das darunterlie- 
gende Element - und so weiter, bis er 
an der Wurzel anlangt. 

Für die Gestaltung der Oberflächen 
stehen folgende Typen von Views zur 
Verfügung: 

— Windows: Ein Window ist immer das 
niedrigste Element in der View Hierar- 
chie, quasi die Wurzel. 
— Toolbars: Eine Toolbar erscheint am 
unteren Rand der Bedienoberfläche. 

— Navigationbars: Eine 


Listing 1: AppDelegate.m 


[self createEditableCopyOfDatabaselfNeeded]; 
1 Initialisierung der Datenbank (SALLite) 
[self initializedatabase]; 

II Hauptfenster erzeugen 


II Initialisierung table view controller 
masterVienController = 
II Navigationcontroller erzeugen 
navigationController = 


[window addSubview:[navigationcontroller viewl]; 
[window makeKeyAndVisible]; 


- (void)applicationdidfinishLaunching:(UlApplication *)application { 


window = [LUIWindow alloc] initWithfrane:[LUlScreen mainscreen] bounds]]; 
[[MasterViencontroller alloc] init]; 
[LUINavigationcontroller allocl 7 


initWithRootViewController:nasterVienuController]; 
I! den View des Navigation Controllers zum Hauptfenster hinzufügen 


Navigationsleiste er- 
scheint am oberen Rand 
der Bedienoberfläche. 


Nach dem Start, 
jedoch bevor etwas 
auf dem Display zu 
sehen ist: 

Eine Methode 

des Delegate baut 
den View der 
Anwendung auf. 
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ToDo Liste 


ToDo Detail 
ToDo 


Neue Aufgabe 


Erledigung bis 


Mar 30, 2008 


Eingabe einer neuen Aufgabe für die 
To-do-Liste im iPhone-Simulator. Für die 
Eingabe stehen die iPhone-typischen 
Elemente zur Verfügung (Abb. 1). 


Beim Verzicht auf zusätzliche Ele- 
mente wie eine Navigations- oder ei- 
ne Werkzeugleiste reicht die Basis- 
klasse UIView meistens aus. Sie stammt 
von UlResponder ab und bietet somit 
Methoden für die Verarbeitung von 
Benutzer-Events. Zur Gestaltung des 
GUI stellt das SDK weitere Elemente 
bereit: 

— Container wie UlScrollView (Ergän- 
zung um einen Rollbalken); 

— Elemente vom Typ UlControl; 

— Dialoge und Informationsanzeigen 
(unter anderem UlModalView); 

— Elemente zur Darstellung von forma- 
tiertem Text oder Webinhalten wie UI- 
WebView. 

Für Applikationen mit mehreren 
Views (zum Beispiel bei der Verwen- 
dung einer Toolbar) sieht das Frame- 
work den Einsatz eines ViewController 
vor, der Methoden zur Verwaltung an- 
derer Objekte bietet. Unter anderem 
kann er die automatische Neuorientie- 
rung der Oberfläche übernehmen, wenn 
der Anwender sein iPhone dreht. 

Zum Starten der Anwendung erzeugt 
der Programmierer eine Instanz von UI- 
ApplicationMain. Sie bekommt als Para- 
meter einen sogenannten Delegate mit- 
gegeben, der nicht von einer bestimmten 
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Klasse abstammt, sondern das U/Appli- 
cationDelegateProtocol implementiert. 
Der Unterschied zu einem reinen Inter- 
face besteht darin, dass die jeweilige 
Klasse nicht alle Methoden bereitstel- 
len muss. Der Delegate ähnelt also ei- 
nem Hook: Vorhandene Methoden ruft 
das Framework gegebenenfalls auf, und 
nicht implementierte stören es nicht. 

Eine wichtige optionale Methode 
des Delegate ist applicationDidFinish- 
Launching(). Ist sie vorhanden, ruft das 
Framework sie als Erstes nach dem 
Start auf — noch bevor die Anwendung 
auf dem Bildschirm erscheint. Hier ist 
es empfehlenswert, den View zusam- 
menzusetzen, (vgl. den Aufruf von add- 
Subview() in Listing 1). Hat man die 
Oberfläche mit dem Interface Builder 
erstellt, entfällt dieses Zusammenset- 
zen des View. Stattdessen lädt man in 
applicationDidFinishLaunching() die 
vom Builder erzeugte .xib-Datei mit 
einer Beschreibung der Oberfläche im 
XML-Format. 

iPhone-Anwendungen laufen inner- 
halb einer Application Sandbox, nur in 
diesem Bereich dürfen sie schreiben. Ei- 
ne solche Sandkiste besteht aus der Ap- 
plikation (dem Application Bundle), dem 
Verzeichnis Documents (Speicherort für 
Applikationsdaten), dem Verzeichnis Li- 
brary/Preferences (Konfigurationsdaten, 
die die CFPreferences-API verwaltet) 
und einem temporären Verzeichnis tmp. 
Um das Aufräumen in Letzterem muss 
sich der Entwickler selber kümmern, 
denn einen Automatismus gibt es nicht. 
Die Anwendung innerhalb des Applica- 
tion Bundle besteht neben den Klassen 
aus Resource-Dateien, beispielsweise 
Bildern oder Texten für die Internationa- 
lisierung. Wichtig ist außerdem die Datei 
Info.plist, die die Anwendung beschreibt. 
Sie legt unter anderem fest, welches Icon 
das iPhone anzeigt. 


Testen für Europäer 
nur im Simulator 


Einen ersten Dämpfer bekamen Ent- 
wickler bei der Veröffentlichung des 
iPhone SDK verpasst: Sie können ihre 
Anwendungen nicht einfach auf das ei- 
gene iPhone laden und dort testen. Ein 
Test der entwickelten Anwendung mit 
dem iPhone SDK ist zunächst nur im 
Simulator möglich. Für die Installation 
auf einem iPhone oder iPod touch ist 
ein digitales Zertifikat erforderlich, das 
es nur im kostenpflichtigen iPhone De- 
veloper Program gibt (derzeit 99 US-$ 
pro Jahr für Entwickler, 299 US-$ für 
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Einfacher als direkt 

im Quellcode lassen r” 
sich die Oberflächen 

grafischerstellen. cm 

Der Interface Builder 

ermöglicht zudem, @ © 
sie direkt zu testen 
(Abb. 2). 


interne Anwendungen 
eines Unternehmens). 
Selbst wer bereit ist, 
die Kosten zu tragen, 
muss sich als Euro- 
päer zunächst gedulden, denn an dem 
Programm dürfen bislang nur US-Bür- 
ger und -Firmen teilnehmen. Zur Ver- 
teilung von Drittsoftware will Apple 
seinen iTunes-Dienst nutzen. Entwick- 
ler bestimmen selbst den Preis für ihr 
Produkt. 70 % der Einnahmen erhalten 
sie, den Rest Apple. Bevor der Herstel- 
ler ein Programm in seinen Shop auf- 
nimmt, will er es nach eigenem Bekun- 
den prüfen. 

Zu den finanziellen Hürden kom- 
men technische Restriktionen, die Ap- 
ple dem Entwickler auferlegt. So ist es 
nicht erlaubt, Hintergrundprozesse aus- 
zuführen und interpretierten Code in der 
Anwendung zu verwenden — es sei 
denn, er läuft in einem von der Lauf- 
zeitumgebung zur Verfügung gestellten 
Interpreter. Dadurch ist eine Java-VM 
auf dem iPhone in weite Ferne gerückt. 
Diese Restriktionen werden einerseits 
durch die Lizenzbestimmungen des 
iPhone SDK und andererseits durch das 
besagte iPhone Developer Program de- 
finiert. Apple versucht mit diesen Vor- 
gaben vermutlich, die Stabilität der 
Plattform „iPhone“ zu gewährleisten 
und nicht Tür und Tor für schadhaften 
Code zu öffnen. 

Es gibt viele Unterschiede zwischen 
Googles Android und dem iPhone SDK 
und darunter auch Gründe, weswegen 
Entwickler die eine oder andere Platt- 
form wählen. Eine Rolle könnte die 
eingesetzte Programmiersprache spie- 
len: Einem Java-Kenner ist Android 
näher als das Objective-C im iPhone. 
Apple hat auf seiner Seite zunächst die 
Entwickler, die ohnehin bereits mit 


Papaya 


Mango 


XCode in Objective-C arbeiten. Jene, 
die noch keine Erfahrungen mit dem 
Mac und Objective-C gesammelt ha- 
ben, werden sich jedoch erst einmal ein- 
arbeiten müssen. 

Hier ist es an Apple, die auf seinen 
Webseiten angebotenen Informationen 
auszubauen und aktuell zu halten, um 
Frustrationen bei neuen Entwicklern 
zu vermeiden. Im Weg steht noch die 
Barriere des iPhone Developer Pro- 
gram, die Apple kaum beseitigen wird. 
Umso wichtiger, dass die Firma in der 
Entwicklergemeinde um Verständnis 
dafür wirbt. 

Als größtes Hindernis für das Gewin- 
nen neuer Programmierer könnte sich 
herausstellen, dass sie auf einem Mac 
arbeiten müssen — das verlangen die Li- 
zenzbestimmungen. Damit dürfte Apple 
weniger Hobbyentwickler anziehen als 
Android oder andere Plattformen. Ande- 
rerseits könnten die von iFund angebo- 
tenen Mittel einige reizen. Es bleibt si- 
cherlich spannend, und am Ende wird 
wohl die Kombination aus Plattform 
und verfügbaren nützlichen Anwendun- 
gen die Gunst der meisten Anwender für 
sich gewinnen. (ck) 
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Skriptsprachen 


PDF generieren mit dem Zend-PHP-Framework 


Zeichenzauberer 


Markus Bach 


Anfang des Jahres hat Zend die neueste Version des hauseigenen 
PHP-Framework offiziell freigegeben. Es stellt neben einer 
umfangreichen Sammlung von Bibliotheken für High-Level-Dienste 
eine API zum Erstellen und Bearbeiten von PDFs zur Verfügung. 


n den Anfängen von PHP war es ei- 

nigermaßen mühsam, PDFs dyna- 

misch zu erstellen. Und zwar war das 
Schlimme der initiale Aufwand, bis der 
Rahmen stand, um überhaupt ein erstes 
Dokument erstellen zu können. Man 
konnte externe Bibliotheken verwen- 
den. Allerdings waren die meist nicht in 
PHP, sondern in C programmiert und 
mussten erst einkompiliert werden. Für 
erfahrene PHP-Administratoren zwar 
machbar, unerfahrene Anwender konnte 
es aber zum Aufgeben bringen. Zudem 
gab es in Shared-Hosting-Umgebungen 
meist nicht die Option, etwas an der 
PHP-Installation zu ändern, da diese in 
der Hoheit des Hosters lag. 

Das hier behandelte Zend-Frame- 
work dagegen ist vollständig in PHP 
implementiert, was auch den wesent- 
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lichen Unterschied zu Lösungen wie 
2004 in iX beschrieben [1] ausmacht. 
Das bedeutet, dass PHP in seiner 
Grundinstallation — Version 5.1.4 oder 
neuer — nicht geändert werden muss, 
außerdem sind auf dem Server keine 
weiteren Programme oder Bibliothe- 
ken erforderlich. Es müssen nur die 
Dateien des Framework vorhanden 
und im Zugriff sein. Die jeweils ak- 
tuelle Version findet sich auf der Pro- 
jekt-Homepage [a]. Damit das Frame- 
work funktioniert, muss es in einem 
Pfad liegen, der in der Konfigurations- 
direktive include_path enthalten ist. 
Wie man diese gegebenenfalls ändern 
kann, ist auf der PHP-Site (siehe On- 
linequellen [c]) dokumentiert. Wichtig 
ist, dass man das Verzeichnis library 
unter dem Verzeichnisnamen des einge- 


spielten Pakets in den Pfad aufnimmt, 
etwa /ZendFramework-1.5.0/library. 

Diese Schritte vorausgesetzt, lädt 
folgender Code im PHP-Programm die 
Zend-API: 


<®php 
require_oncel(,Zend/Pdf.php'); 
[22 


Das Zend-Framework unterstützt den 
PDF-Standard in der Version 1.4, ent- 
sprechend Adobes Acrobat 5. In den Do- 
kumenten lassen sich Seiten hinzufügen 
oder entfernen, außerdem kann man die 
Sortierung und Dokumenteigenschaften 
(Autor, Titel, ...) ändern. In die Doku- 
mente lassen sich Texte, einfache Gra- 
fikelemente (Linien, Rechtecke, Polygo- 
ne, Kreise und Ellipsen) sowie Bilder im 
JPG-, PNG- oder TIFF-Format zeichnen. 


Dokumente erzeugen, 


öffnen und speichern 


Objekte der Klasse Zend_Pdf repräsen- 
tieren Dokumente, deshalb kann das Er- 
stellen und Laden über den Konstruktor 
oder durch statische Methoden erfolgen, 
die sich entweder auf den Pfad zu einer 
PDF-Datei oder das komplette Doku- 
ment in einer String-Variablen beziehen: 


<®ph 

// Neues PDF erzeugen 

$pdfl = new Zend_Pdfl); 

// PDF-Datei laden 

$pdf2 = Zend_Pdf::load($pathToPdf]; 
// Dokument aus einem String erzeugen 


$pdf3 = Zend_Pdf.;parse[$pdfAsString); 
%> 


Um Änderungen im PDF-Dokument zu 
speichern, können Entwickler die Me- 
thoden save und render nutzen. Der 
Unterschied: save schreibt das Doku- 
ment in eine Datei, render gibt es als 
String zurück — etwa wenn es gleich 
zur Darstellung an einen Browser als 
Response geschickt werden soll: 


<@php 

// PDF in Datei speichern 

$pdf>save[$pathToPdf); 

// PDF erzeugen und an Browser schicken 

$pdfAsString = $pdf->renderl); 

header|[,Content-type: application/pdf"); 

header[,‚Content-Disposition: attachment; 
filename=\"zend.paf\"); 

echo $pdfAsS$tring; 

2> 


Die Metadaten eines Dokuments sind 
nicht Teil des Inhalts, sie dienen viel- 
mehr dazu, Informationen zum Doku- 
ment selbst anzugeben. Folgende Attri- 
bute können optional ausgewertet und 
gesetzt werden: 
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ep 
// Style für Überschriften festlegen 
$headlineStyle = new Zend_Pdf_Style(); 


// Style für Text festlegen 
$bodyStyle = new Zend_Pdf_Style(); 


// Style setzen und Überschrift schreiben: 
$page->setStyle($headlineStyle); 
$page->drawText[,Überschrift', 10, 500); 
// Style setzen und Body schreiben: 
$page->setStyle[$bodyStyle); 
$page->drawText|,Text Text Text', 10, 450); 
%> 


$headlineStyle->setFont[Zend_Pdf_Font::fontWithName(Zend_Pdf_Font::FONT_HELVETICA_BOLD), 14); 
$headlineStyle->setFillColor[new Zend_Pdf_Color_HtmI(,#f0000')); 


$bodyStyle->setFont[Zend_Pdf_Font::fontWithName(Zend_Pdf_Font::FONT_HELVETICA), 10); 
$bodyStyle>setFillColor(new Zend_Pdf_Color_Rgb[0, 0, 0.9]; 


— Title: Titel des Dokuments 
— Author: Name des Erstellers 
- Subject: kurze Beschreibung des Inhalts 
- Creator und Producer: Angaben dar- 
über, mit welchen Anwendungen das 
Dokument erstellt beziehungsweise mit 
welcher Anwendung das Rohdokument 
in PDF konvertiert wurde 
—- CreationDate: Datum der Erzeugung 
des Dokuments im Format D:YYYY 
MMDDHHmm wobei D: konstant ist 
und die restlichen Parameter denen der 
PHP-Funktion date entsprechen 
- ModDate: Datum der letzten Ände- 
rung, das Format entspricht dem von 
CreationDate 

Die einzelnen Attribute liegen im 
PDF-Objekt als assoziatives Array vor 
und sind über die Schlüsselwörter ein- 
fach ansprechbar: 


<@ph 

pnp 

$oldAuthor = $pdf->properties[,Author']; 

$pdf>properties[,Author'] = $oldAuthor .", 7 
Weiterer Autor"; 

8> 


PDF-Dokumente sind seitenorientiert 
aufgebaut, das heißt, alle Seiten beste- 
hen unabhängig voneinander und sind 


deshalb einzeln änderbar. Anders for- 
matierte Seiten als schon im Doku- 
ment vorhandene lassen sich einfügen. 
Innerhalb der API repräsentiert die 
Klasse Zend_Pdf_Page Seiten im Do- 
kument. Organisiert sind sie innerhalb 
der Objekte vom Typ Zend_Padf als öf- 
fentliches Array, deshalb lassen sich 
Seiten leicht ansprechen, entfernen, 
umsortieren und mit allen Array- 
Funktionen bearbeiten: 


<2php 

// 5. Seite des Dokuments laden 
$pagefive = $pdf->pages[4]; 

// 10. Seite entfernen 
unset[$pdf->pages[9]); 

// 5. und 6. Seite vertauschen 
$pdf->pages[4] = $pdf->pagesl5]; 
$pdf>pages[5] = $pageFive; 

// Seiten verwürfeln 


shuffle($pdf->pages]; 
8> 


Neue Seiten lassen sich auf zwei Arten 
zu einem Dokument hinzufügen: Zum 
einen über die statische Methode new- 
Page der Klasse Zend_Pdf, zum ande- 
ren über den Konstruktor der Klasse 
Zend_Pdf_Page. Der Unterschied ist, 
dass newPage eine schon gebundene 
Seite erzeugt und der Konstruktor eine 


ungebundene. Jedoch müssen beide 
Seiten dem Page-Array des PDF-Ob- 
jekts explizit zugewiesen werden, damit 
sie Teil des Dokuments sind. Ungebun- 
dene Seiten kann man in mehrere PDF- 
Objekte eingefügen, ohne sie neu erstel- 
len zu müssen. Dies ist nützlich, wenn 
eine Seite als Vorlage für mehrere 
gleichartige Seiten dienen soll. 


<2php 

// Gebundene Seite einfügen 

$pageBound = $pdfl- 
>newPagelZend_Pdf_Page::SIZE_A4); 
$pdf1->pages[] = $pageBound; 

// Ungebundene Seite erzeugen 
$pageUnbound = new 
Zend_Pdf_Page[Zend_Pdf_Page::SIZE_A4); 
// Seite an zwei unabhängige PDFs anhängen 
$pdfl->pages[] = $pageUnbound; 
$pdf2->pages[] = $pageUnbound; 

2> 


Die Methode newPage und der Kon- 
struktor erwarten jeweils als Parame- 
ter die Seitengröße, als Konstanten 
sind die Felder SIZE_A4, SIZE_A4_ 
LANDSCAPE, SIZE_LETTER oder 
SIZE_LETTER_LANDSCAPE der Klas- 
se Zend_Pdf_Page verwendbar. Die 
Seitengröße kann man auch selbst de- 
finieren, indem man Höhe und Breite 
in Pixel als Parameter übergibt. 

Um eine bestehende Seite als Vor- 
lage für eine neue Seite zu verwenden, 
übergibt man die Template-Seite dem 
Konstruktor, der so eine ungebundene 
Seite erstellt, die sich dem PDF wie- 
der anhängen lässt: 
<@php 
// 1. Seite des Dokuments als Template laden 
$templatePage = $pdf->pagesl[0]; 

// Neue Seite mit dem Template erzeugen 
$newPage = new Zend_Pdf_Page($templatePage]; 
// Neue Seite hinzufügen 


$pdf->pagesl] = $newPage; 
8> 


Da jetzt die Grundlagen geschaffen 
sind, um mit Dokumenten umzugehen, 
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Skriptsprachen 


Listing 2 


(50, 300, 30); 


[M_PI/ 4), (3 * M_PI/ A)); 


Zend_Pdf_Page::SHAPE_DRAW_STROKE]; 


Zend_Pdf_Page::SHAPE_DRAW_FILL); 2> 


können die Seiten mit Inhalt gefüllt 
werden. Um einen Text einzufügen, 
verwendet man die Methode drawText 
der Klasse Zend_Pdf_Page. Sie erwar- 
tet als Parameter den Text und die Po- 
sition des Textes als XY-Koordinaten 
(Nullpunkt in der linken unteren Ecke). 
Optional kann man das Encoding des 
Textes angeben, falls es zu Problemen 
mit Sonderzeichen kommt: 


<@php 

$page = new Zend_Pdf_PagelZend_Pdf_Page:: 7 
SIZE_AA); 

// Text in Latin1-Codierung schreiben 

$page->drawText(,Hello PDF world!', 100, 100, 

‚Latin1'); 

e> 


Leider geben diese Code-Zeilen nur ei- 
ne Fehlermeldung aus, denn es ist nur 
festgelegt, was und wo dargestellt wer- 
den soll, aber es fehlen Angaben über 
Schriftart, -stil und -farbe, die in Ob- 
jekten der Klasse Zend_Pdf_Style ste- 
hen. Pro PDF können mehrere Styles 
zum Einsatz kommen, jeweils gesetzt 
vor dem Aufruf der draw-Methoden. 
Ein Style bleibt solange gültig, bis ein 
neuer angegeben wird. Ein Beispiel 
zeigt Listing 1 (ein Beispielprogramm 
mit — fast — allen besprochene Befeh- 
len ist über den iX-Listing-Service er- 
hältlich. [d] 


Texte, Schriftarten 
und Farben 


Schriftart und Schriftgröße werden dem 
Style mit der Methode setFont zuge- 
wiesen, wobei Schriftarten mit stati- 
schen Methoden der Klasse Zend_ 
Pdf_Font zunächst zu laden sind. Das 
Framework definiert bereits sechs 
Schriftarten, ladbar über ihren Namen. 
Zend_Pdf_Font enthält zum einfachen 
Umgang entsprechende Konstanten. 
Andere Schriftarten können über font- 
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<?php // Zunächst wird der Style definiert $style = new Zend_Pdf_Style(); $style->setFillColor 
[new Zend_Pdf_Color_Html(,#ff0000')]; $style->setLineColor[new Zend_Pdf_Color_Html 
(,#00ff00')); $style->setlineWidth(3); $page->setStyle($style]; 

// Zeichne einen Kreis an // Position x = 50 und y = 300 mit Radius 30 Pixel $page->drawCircle 


// Zeichne ein Kreissegment // von Winkel PI/4 bis 3*PI/4 $page->drawCircle[ 100, 300, 30, 
// Zeichne ein gefülltes Rechteck mit Außenlinie mit den Koordinaten 

// der Eckpunkte 100 / 300 und 200 / 400 $page->drawRectangle(100, 300, 200, 400, 
Zend_Pdf_Page::SHAPE_DRAW_FILL_AND_STROKE]); 

// Zeichne nur die Außenlinie $page->drawRectangle[300, 300, 400, 400, 


// Zeichne nur die Füllung $page->drawRectangle[100, 100, 200, 200, 


WithPath aus einer Datei mit der True- 
type-Definition geladen werden. 

Die Schriftfarbe legt serFillColor 
fest, mit einem Farb-Objekt als Para- 
meter. Die Farb-Objekte lassen sich auf 
vier verschiedene Arten definieren. Der 
Konstruktor der Klasse Zend_Pdf_Co- 
lor_Html erwartet ein Farbschema, 
wie es auch in HTML-Dateien zum 
Einsatz kommt — das Zeichen # ge- 
folgt vom RGB-Wert in hexadezima- 
ler Angabe. Zend_Pdf_Color_Rgb legt 
RGB-Werte als Floats im Wertebe- 
reich von 0 bis 1 fest, Graustufen un- 
terstützen die Methoden Zend_Pdf_ 
Color_Greyscale, das CMYK-Schema 
Zend_Pdf_Color_Cmyk. 


Grafiken einbinden 


Bilder (JPG, PNG, TIFF) lassen sich 
aus Dateien laden, primitive Grafiken 
auch mit dem Framework selbst zeich- 
nen. Die Klasse Zend_Pdf_Page ent- 
hält Methoden für Kreise, Ellipsen, 
Polygone, Rechtecke und Linien oder 
Teile davon. Um etwa nur ein Kreis- 
segment zu zeichnen, kann man der 
Methode drawCircle zusätzlich Start- 
und Endwinkel übergeben. Für die 
Primitive sind optional die Darstel- 
lungsmodi wie Füllung und Umran- 
dung einstellbar (Listing 2). 

Beim Laden eines Bildes ermittelt die 
statische Methode imageWithPath der 
Klasse Zend_Pdf_Image automatisch 
den Typ des Bildes. Danach kann man 
das Bild samt Koordinaten an die draw- 


Image-Methode von Zend_Pdf_Pag 
übergeben: 
<@php 


// Bild aus Datei laden 
$image = Zend_Pdf_Image::imageWithPath(,/tmp/ 7 


testbild.jpg'); 
// Bild in Orginalgröße zeichnen 
$x1 = 100; 
$yl = 300; 


$x2 = $x1 + $image->getPixelWidth(); 

$y2 = $y1 + $image->getPixelHeight|)- ; 
$page->drawlmagel$image, $x1, $y1, $x2, $x2); 
2> 


Das Bild lässt sich beim Zeichnen gleich 
skalieren, wenn für die Koordinaten $x2 
und $y2 nicht die genaue Höhe und 
Breite berücksichtigt werden, sondern 
entsprechend transformierte Werte. 


Fazit 


Das Zend-Framework erlaubt es, ohne 
größere Verrenkungen PDF-Doku- 
mente zu generieren und zu ändern. 
Zwar lassen sich nicht alle Features 
des PDF-Standards nutzen (Formula- 
re, Signaturen et cetera), dennoch 
dürften sich die meisten Anwendungs- 
fälle lösen lassen. Es bleibt aber zu 
hoffen, dass die Implementierung der 
PDF-API vollständiger und aktueller 
wird. Trotzdem arbeitet die API per- 
formant und ist in ihren Methoden 
leicht verständlich. Das Jonglieren mit 
Pixeln und Koordinaten erweist sich 
zwar manchmal als etwas lästig, aber 
das liegt weniger an der API als an 
PDF selbst. (JS) 
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Webprogrammierung 


mittlerweile das Werkzeug der 
Wahl, wenn es um das Erstellen 
schlanker Webapplikationen auf der 
Java-Plattform geht. Die Gründe dafür 
sind so zahlreich wie die Anwender, 
aber zu einem großen Teil sind es die 
vier Entwurfsprinzipien des Framework, 
die diese Auswahl begründen: 
- Einfachheit 
— Plattform-Integration 
— Java-Perspektive 
— Reichhaltigkeit 
Grails ist einfach zu installieren und 
bringt alles mit, was man für die Ent- 
wicklung benötigt, inklusive Daten- 
bank und Webserver. Voraussetzung ist 
lediglich ein installiertes JDK. 
Konventionen wie die Aufteilung in 
Domänenmodell, Controller, Views, 
Jobs und Services mit den zugehörigen 
Verzeichnissen geben eine Struktur vor, 
die Grails automatisch anlegt und kon- 
sistent befüllt. Ein Entwicklerteam muss 
sein Build-System nicht mehr konfigu- 
rieren oder gar selbst bauen, sondern 
kann einfache Befehle nutzen wie 


F: viele Organisationen ist Grails 


grails create-app myapp 
grails run-app 
grails war 


Um Duplikationen zu vermeiden, kann 
man Elemente auslagern, Controller- 
Teile etwa in Filter oder View-Teile in 
Layouts, Taglibs und Templates. Der 
Kunstgriff besteht darin, beim Auflösen 
von Duplikation möglichst wenig neue 
Komplexität einzuführen, wie sie durch 
Abhängigkeitsstrukturen oder Konfigu- 
rationen entstehen kann. Auch hier hel- 
fen einfache Konventionen, wie bei 
Templates, die nur in Views Verwen- 
dung finden, die im gleichen oder einem 
Unterverzeichnis liegen. 

Grails setzt auf der Java Enterprise 
Plattform auf und integriert die dort eta- 
blierten Standards: JavaBE als architek- 
tonische Basis, Spring für Applikations- 
strukturierung mittels Dependency 
Injection, MVC und Webflow sowie Hi- 
bernate für das objektrelationale Map- 
ping. Die Version 1.0 führt eine domä- 


Grails 1.0: Klare Struktur und solide Techniken 


Ritterschlag 


Dierk König 


Nach knapp dreijähriger Entwicklungszeit ist die Version 1.0 
von Grails, dem Web-Framework für Groovy und Java, fertig. 
Einige Neuerungen wie die vereinfachte Umsetzung von REST 
durch Content Negotiation und Codecs für transparentes 
Marshalling von JSON- und XML-Parametern bringen Software- 


entwicklern noch mehr Komfort. 


nenspezifische Sprache für ein objekt- 
relationales Mapping ein, sodass Ent- 
wickler hierfür nicht mehr zwangsläufig 
auf Hibernate zurückgreifen müssen. 
Neue Projekte sind meist in eine 
Landschaft zu integrieren, in der schon 
Frameworks, Bibliotheken oder Kompo- 


Grails freigegeben. 


A-TRACT 
© Nach knapp drei Jahren Entwicklungszeit wurde die Version 1.0 des Web-Framework 


© Grails verbindet Java-Frameworks wie Spring und Hibernate mit den dynamischen 
Eigenschaften der Programmiersprache Groovy. 


@ In die Release 1.0 sind praktische Erweiterungen eingeflossen, die sich aus der produkti- 
ven Arbeit der Open Source Community mit früheren Grails-Versionen ergeben haben. 
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nenten vorhanden sind. Und selbst wenn 
das nicht der Fall sein sollte, möchte 
man von der Vielfalt der Java-Open- 
Source-Projekte profitieren. Grails ga- 
rantiert dem Anwender diese Flexibilität 
durch seine nahtlose Integration in die 
Java-Plattform und die konsequente Ein- 
haltung der Java-Perspektive. 

Oft hat ein Entwickler schon Code 
vorliegen oder möchte einzelne Teile 
der Applikation lieber in Java schreiben. 
Grails unterstützt eine beliebige Mi- 
schung aus Java und Groovy, wenn 
auch die Groovy-Variante mehr Kom- 
fort bietet. Für Java-Programme muss 
man die Spring-Konfiguration oder die 
Hibernate-Mappings wieder selbst vor- 
nehmen. Zumindest kann man so aber 
ein bestehendes Java-Domänenmodell 
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Webprogrammierung 


Builder sind deklarativ genug für die 
Beschreibung von Views und Datenbank- 
Schemata und gleichzeitig ausführbar für 
die Validierung (Abb. 1). 


Listing 1: 
grails-app/domain/Nutzer.groovy 


class Nutzer { 
String firstname, lastname, mail 
Date birth 


static constraints = { 
mail enail: true 
birth max: new Date() 


Listing 2: NufzerRestTesi.groovy 


String url = 'http://localhost:8080/ix/nutzer/showRest' 
assert '"'<?xml version="1.0" encoding="UTF-8"?><nutzer id="1"> 
<birth>1968-04-19 00:00:00.0</birth> 
<firstnane>Dierk</firstname> 
<lastname>Koenig</Lastname> 
<nail>dierk.koenigacanoo. coms/mail> 
<Inutzer>''! == 
"$url/1" toURLO.text 
def list = new XnlParser().parse("$urL/100") 
assert ['1'] == List.nutzer.did 


Listing 3: 
grails-app/conf/BootiStrap.groovy 


class BootStrap { 
def init = { 
def dierk = new Nutzer( 
firstnane: 'Dierk', 
lastnane: "Koenig, 
mail: 'dierk.koenigacanoo.com', 
birth: new Date(68,3,19)) 
if (!dierk.savel)) € 
println dierk.errors 


inklusive Mapping wiederverwenden, 
was einen sanften Migrationspfad für 
die Ablösung durch Grails eröffnet. 
Mit der Release 1.0 wird Grails zu ei- 
ner Plattform, die nicht nur Bausteine 
zur Verfügung stellt, sondern Struktur- 
vorgaben macht, den Entwicklungspro- 
zess unterstützt und den gesamten Le- 
benszyklus der Applikation begleitet. 
Kernstücke dieser Plattform sind das 
auf Gant basierende Build-System und 
das Plug-in-Konzept. Da Grails selbst bis 
auf einen minimalen Kern vollständig 
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aus seinen eigenen Plug-ins besteht, las- 
sen sich über Plug-ins alle erdenk- 
lichen Effekte erzielen: von eigenen 
Scaffolding-Befehlen wie grails gene- 
rate-webtest — definiert vom Webtest- 
Plug-in, um funktionale Tests für ein 
Domänenobjekt zu erzeugen - bis zur 
Injektion synthetischer Methoden. 

Trotz dieser Mächtigkeit sind Plug- 
ins denkbar einfach. Sie sind im Grun- 
de übliche Grails-Applikationen plus 
etwas Zusatzinformation für die Ver- 
sionierung und das Dependency-Ma- 
nagement. Für die Erstellung und das 
Arbeiten mit Plug-ins stellt Grails fol- 
gende Befehle bereit: 


grails create-plugin 
grails package-plugin 
grails release-plugin 
grails install-plugin 


Von der Grails-Homepage aus finden 
Interessierte viele Plug-ins, vom Testing 
über Security und Suchmaschinen bis zu 
populären Präsentationstechniken. 

Plug-ins eignen sich aber nicht nur 
dazu, das Funktionsspektrum von Grails 
zu erweitern. Man kann sie auch zur 
Strukturierung der eigenen Anwen- 
dung nutzen. Jeder Aspekt lässt sich in 
ein Plug-in auslagern und kann für 
sich genommen entwickelt und getes- 
tet werden. Das Dependency Manage- 
ment sorgt für den Zusammenzug der 
benötigten Plug-ins. Das ist eines der 
zentralen Konzepte, die aus Grails ei- 
ne Plattform machen. 

Eine Stärke von Groovy sind Builder, 
von denen Grails ausgiebigen Gebrauch 
macht: bei der Definition von Spring 
Beans, der Beschreibung von Web 
Flows, für die Anpassung des OR-Map- 
pings, bei der Definition von Constraints 
auf Domänen-Objekten, der Formulie- 
rung von Hibernate Criteria, der Zuord- 
nung von URLs auf Controller und 
Actions, der Reaktion auf die Anfrage 
unterschiedlicher Datenformate (Con- 
tent Negotiation), der Erzeugung struk- 
turierter Formate wie HTML oder 
JSON, bei der Beschreibung der Build- 
Aktionen, der Spezifikation funktionaler 
Tests und generell bei allem, was ent- 
fernt wie eine Konfiguration aussieht. 

Anders als Dateien in externen For- 
maten wie XML, die keine Möglichkeit 
bieten, Logik und Referenzen sauber 
abzubilden, sind Builder Sourcecode 
mit der vollen Mächtigkeit der Pro- 
grammiersprache und haben trotzdem 
ein deklaratives Erscheinungsbild. 

Eine Domänenklasse Nutzer soll 
das illustrieren. Sie definiert Bedin- 
gungen für das Format der Mailadresse 


und eines Geburtsdatums, das nicht in 
der Zukunft liegen darf (Listing 1). 
Ein ConstraintsBuilder evaluiert die 
constraints-Closure, wobei die Kombi- 
nation von deklarativem Charakter und 
ausführbarer Logik deutlich wird. Die 
Constraints lesen sich wie eine Konfigu- 
ration, sind aber ausführbarer Code, was 
die Ausdrücke true und new Date() ver- 
deutlichen. Gleichzeitig liefert der Buil- 
der strukturelle Information, die an drei 
Stellen Verwendung findet: bei der Erstel- 
lung der Views für die create- und edit- 
Aktionen, für die Validierung des Nut- 
zer-Objekts vor der Speicherung und für 
die Definition des Datenbankschemas. 


Konfigurieren über 
ausführbaren Code 


Abbildung 1 zeigt den Versuch, einen 
Nutzer mit Geburtsdatum in der Zu- 
kunft anzulegen. Zu beachten ist, wel- 
che Strukturinformationen der View 
aus dem ConstraintsBuilder bezieht: 
nicht nur die Tatsache der Verletzung 
selbst, die eine Ausführung der Cons- 
traints erfordert, sondern auch die Lo- 
kalisierung der betroffenen Eigenschaft 
und die Art der Verletzung — sogar 
noch mit internationalisierter Fehler- 
meldung. Der View berücksichtigt au- 
ßerdem, dass der mail-Constraint vor 
birth definiert ist und ordnet danach 
die Reihenfolge der Eingabefelder an. 
Properties ohne Constraints folgen am 
Ende. 

Um alle Views und Controller für 
diese kleine Nutzer-Klasse zur Laufzeit 
zur Verfügung zu haben, genügt die 
Klasse grails-app/controllers/Nutzer- 
Controller.groovy: 


class NutzerController { 
static scaffold = Nutzer 


} 


Dieses dynamisches Scaffolding ge- 
nannte Verfahren erzeugt keine Dateien 
im File-System, sondern weist Grails 
lediglich an, wie es sich zur Laufzeit 
verhalten soll. Das ist gerade zu Beginn 
eines Projekts nützlich, wenn sich das 
Domänenmodell noch häufig ändert. 

Der NutzerController soll als Aus- 
gangspunkt für die Anwendung einiger 
Neuerungen in Grails 1.0 dienen, die 
sich schön bei der „RESTifizierung“ der 
Applikation zeigen lassen: Codecs für 
das Rendering und Binding unterschied- 
licher Formate wie XML oder JSON, 
Content Negotiation und Filter. (Ein 
lauffähiges Beispiel ist über den iX-Lis- 
tingsserver erhältlich.) 
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Alle Operationen zum Anschauen, 
Anlegen, Verändern und Löschen eines 
Nutzers sollen nicht nur per HTML, 
sondern auch über eine REST-API 
möglich sein. Dazu soll zunächst ein 
einfacher GET-Request einen Nutzer im 
XML-Format zurückgeben. Ein Groo- 
vy-Script dient als TestCase und REST- 
Client (Listing 2). 

Der Test spezifiziert erstens den 
XML-Text, den die Anwendung bei 
der Anfrage einer vorhandenen id (7) 
liefern soll. Das geschieht mehr der Il- 
lustration wegen, denn man darf sich 
nicht auf die Reihenfolge der Elemen- 
te verlassen. Deshalb zeigt die zweite 
Zusicherung die Anfrage auf eine 
nicht vorhandene id (100). Als Ergeb- 
nis wird eine Liste aller vorhandenen 
Nutzer erwartet. Hier stellt der Client 
mit den Mitteln von Groovy alle id-At- 
tribute von allen Nutzer-Elementen in 
der Resultatliste zusammen. 

Damit ein solcher Benutzer beim 
Starten der Applikation verfügbar ist, be- 
füllt eine Klasse beim bootstrapping die 
Datenbank entsprechend (Listing 3). 


REST-Client 
bewährt sich im Test 


Die im TestCase verwendete URL legt 
nahe, dass es im NutzerController eine 
neue Action showRest geben soll, die 
als Parameter die id des anzuzeigenden 
Nutzers übergibt. Zu diesem Zweck be- 
kommt der NurtzerController eine neue 
Action (Listing 4). 

Anhand seiner id holt die dynami- 
sche Methode ger den Nutzer von Hi- 
bernate. Wird die id als Parameter 
übergeben, verwendet die get-Metho- 
de sie, ansonsten setzt der Elvis-Ope- 
rator das Argument auf 0. Da es hier- 
für kein Objekt gibt, erzeugt die 
Methode in dem Fall ein leeres Ergeb- 
nis. Das auf diese Weise erhaltene Re- 
sultat verwendet die Action weiter. Im 
Fall einer leeren Ergebnisliste holt 
list() die Liste sämtlicher Nutzer. Un- 
abhängig davon, was im Resultat steht, 
erfolgt die Ausgabe as XML, also über 
den XMLCodec. Für die Operationen 
zum Anlegen, Verändern und Löschen 
muss man aus dem übergebenen XML 
allerdings ein Domänenobjekt machen: 


def update = { 


def nutzer = new Nutzer(params.nutzer) ... } 


Hier wird erwartet, dass im Eingabe- 
strom des PUT-Request der Nutzer im 
gleichen XML-Format spezifiziert ist 
wie beim GET im TestCase. Das Bin- 
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ding von XML auf Domänenobjekte ba- 
siert auf Spring Bean Binding und funk- 
tioniert nicht nur für REST-Calls, son- 
dern auch für HTML Form Submission. 
Damit der REST-Client die passende 
Action findet, kann er direkt einen PUT- 
Request an nutzer/update schicken. Es 
geht aber noch einfacher: per Filter. Jede 
Grails-Applikation hat eine Datei Url- 
Mappings, in der man Requests anhand 
ihrer Eigenschaften auf Controller oder 
Views umleiten kann (Listing 5). 

Der Client muss seinen Request also 
nur noch an die “nutzer “-URL schicken 
und wird an die passende Action weiter- 
geleitet. Dies macht den Client robuster 
gegen serverseitige Änderungen. 

Für den Fall, dass ein HTML-Client 
einen Link auf die “nutzer“-URL setzt 
und die Darstellung nicht in XML, son- 
dern in HTML erfolgen soll, gibt es die 
Content Negotiation. Dafür erweitert ein 
withFormat die showRest-Action, und 
weil es so einfach ist, wird gleich noch 
die Ausgabe als JSON erlaubt, um auch 
den Ajax-Zugriff mit abzubilden. 

Die Aufzählungen der unterstützten 
Formate kann man nachlesen in grails- 
app/conflConfig.groovy unter den grails. 
mime.types, die man selbst erweitern 
kann. Die Ermittlung der Ausgabeforma- 
te lässt sich auf drei Arten „aushandeln“: 
— über den Accept Header des Request 
unter Berücksichtigung von Alternati- 
ven und ihres Qualitätsfaktors ‚‚q’“ (siehe 
www .w3.org/Protocols/rfc2616/rfc2616 
-sec14.html) 

— über eine Dateiendung wie in show- 
Rest/I.xml 

— über den format-Parameter wie in 
showRest/1?format=json 

Ohne spezielle Angabe gilt HTM. 

Bleibt noch zu erwähnen, dass XML- 
Rendering und Binding nicht nur mit 
einfachen Objekten, sondern auch mit 
Objektgraphen funktionieren. Generell 
sieht man nur einen kleinen Ausschnitt, 
der das Konzept erläutert. Mehr Details 
enthält die Onlinedokumentation. 


Fazit 


Grails ist klar in der Architektur, stark in 
den Konzepten und solide in den ver- 
wendeten Techniken. Java-Entwickler 
bleiben in ihrer gewohnten Welt, was 
das „Ökosystem“ — Laufzeitumgebung, 
Deployment und Entwicklungswerkzeu- 
ge — angeht, und haben gleichzeitig ein 
neues, leichtgewichtiges „Fahrgefühl“. 
Die Groovy- und Grails-Communi- 
ty wächst von Tag zu Tag und kann 
mit der Firma G2one seit Anfang des 


Listing 4: Zusatz zu grails-app/con 
trollers/NutzerController.groovy 


import grails.converters.* // zuoberst einfügen 
def shouRest = { 
def result = Nutzer.get(parans.id ?: 0) 
result = result ?: Nutzer.List() 
render result as XML 


Mappings.groovy 


static mappings = { 
"Inutzer/$id?"Ccontroller:"nutzer"){ 
action = [GET:"showRest", PUT:"update", 
j DELETE: "delete", POST:"save"] 


} 


Listing 5: Zusatz zu grails-app/conf/Url 


Listing 6: Content Negotiation 


def shouRest = { 
def result = Nutzer.get(parans.id ?: 0) 
result = result ?: Nutzer,list() 
withFornat { 
html { redirect action:'show'} 
xml { render result as XML} 
json { render result as JSON } 


Jahres genügend Vollzeit-Entwickler 
für ein nachhaltiges Wachstum vor- 
weisen. Bei Redaktionsschluss galt be- 
reits die Version 1.0.2 als stabil. Auch 
im Markt häufen sich die guten Nach- 
richten. SAP hat sein auf Netweaver 
basierendes Projekt „Composition on 
Grails“ angekündigt. Der führende 
US-Web-Hoster Contegix stellt sein 
gesamtes Management auf die Grails- 
Plattform um. Große Grails-Anwen- 
dungen wie showbiz.sky.com gehen 
mit über 180 Millionen Hits im Monat 
online. 

Für die Zukunft kann man eine 
noch stärkere Nutzung von Grails als 
technische Plattform auch für Desk- 
top-Anwendungen erwarten. Hier liegt 
ein Potenzial, das erst ansatzweise ge- 
nutzt wird. (ka) 
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Samba als primärer Domänencontroller 


Metronom 


Karolin Seeger 


Eine Krönung des Samba-Einsatzes in gemischten Umgebungen 
ist der Betrieb als primärer Domänencontroller. Vor allem 

in größeren Umgebungen spielt dabei die Anbindung an einen 
LDAP-Verzeichnisdienst eine wichtige Rolle. 


Samba-Tutorials stand der Samba- 

Einsatz als alleinstehender Server 
und als Mitgliedsserver einer Domäne 
im Fokus. Dieser Teil erläutert den 
Einsatz als Domänencontroller, wobei 
er auch die Anbindung an den Ver- 
zeichnisdienst OpenLDAP (LDAP - 
Lightweight Directory Access Proto- 
col) thematisiert. Die abgedruckten 
Listings sind teilweise gekürzt. Die 
vollständigen gibt es über den iX-Lis- 
ting-Service. 

In einer Domäne existiert im Gegen- 
satz zu einer Arbeitsgruppe eine zentra- 
le Benutzerdatenbank, der sogenannte 
SAM (Security Account Manager). Die 
Anmeldung der Benutzer erfolgt in die- 
sem Konzept nicht lokal an einem 
Client, sondern zentral an einem der 
Domänencontroller. Das hat den Vor- 
teil, dass man die Benutzerkonten nicht 


: den ersten beiden Teilen des 
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lokal auf den Clients pflegen muss, 
sondern dass sie allen Benutzern an al- 
len Domänenmitgliedern zur Verfügung 
stehen. Jeder Benutzer kann sich also 
an jedem Client anmelden, sofern die- 
ser Mitglied der Domäne ist. 


Von alten und 
neuen Domänen 


Zwischen NT4 und 2000 hat sich das 
Windows-Domänenkonzept mit Active 
Directory (AD) maßgeblich geändert. 
Samba 3 unterstützt derzeit lediglich 
das NT4-Domänenkonzept, deshalb 
geht der folgende Text ausschließlich 
darauf und nicht auf AD ein. 

Im NT4-Domänenkonzept existieren 
in jeder Domäne genau ein primärer 
(PDC, Primary Domain Controller) und 
beliebig viele Backup-Domänen-Con- 


troller (BDC). Ersterer besitzt einen 
Schreibzugriff auf die zentrale Benut- 
zerdatenbank. Diese verteilt er auf die 
BDCs, sie steht dort aber nur als nicht 
veränderbare Kopie zur Verfügung. 
Das Hinzufügen oder Entfernen von 
Benutzern oder Passwortänderungen 
kann also ausschließlich auf dem PDC 
erfolgen. Anmeldevorgänge sind aber an 
BDCs genauso möglich wie an PDCs, 
damit liegt die Aufgabe von BDCs zum 
einen in der Ausfallsicherheit und zum 
anderen in der Lastverteilung bei An- 
meldevorgängen. 

Samba 3 kann einen NT4 PDC voll- 
ständig ersetzen. In diesem Teil des Tu- 
torials geht es darum, einen Samba-PDC 
aufzusetzen. Es sei trotzdem an dieser 
Stelle kurz erwähnt, dass Samba auch 
problemlos als BDC fungieren kann, 
allerdings benötigt man hierfür einen 
externen Mechanismus zur Verteilung 
der Benutzerdatenbank (beispielsweise 
OpenLDAPs syncrepl), da diese Repli- 
kation nicht in Samba 3 implementiert 
ist. Damit Samba sich als PDC für eine 
Domäne verantwortlich fühlt, sind fol- 
gende Parameter erforderlich: 


[global] 
workgroup = DOM 
security = user 
domain master = yes 
domain logons = yes 


Die Parameter workgroup und security 
waren schon Thema im ersten Teil des 
Tutorials. Mit domain master = yes fun- 
giert der Samba-Server als „Domain 
Master Browser“ (DMB), pflegt also die 
Browse-Liste der Domäne. Diese Liste 
benötigen die Clients für das sogenannte 
„Browsing“, das Suchen in Microsofts 
Netzwerkumgebung. Jeder PDC ist Do- 
main Master Browser. Die zentrale 
Funktion des PDC - das Bereitstellen 
einer Netzwerkanmeldung — aktiviert 
der Parameter domain logons = yes. 
Sobald domain master = yes gesetzt 
ist, registriert der Samba-Server nach 
einem Neustart des nmbd den Net- 
BIOS-Namen „DOM#1b‘“, das heißt, er 
ist Domain Master Browser für die Do- 
mäne „DOM“. Das lässt sich mit dem 
Tool nmblookup einfach überprüfen, 
der Aufruf nmblookup DOM#IDb liefert 
als Antwort die IP-Adresse des PDC. 
Mit dem Parameter domain logons = 
yes wiederum registriert Samba den 
NetBIOS-Namen DOM#Ic, das heißt, 
es stellt Logon-Dienste zur Verfügung. 
Welche Namen ein Server (oder auch 
Client) registriert hat, verrät das Kom- 
mando nmblookup -A localhost, wobei 
man localhost durch einen beliebigen 
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Rechnernamen ersetzen kann. Listing 1 
zeigt ein Beispiel. Der Server dort ist 
PDC, weil er die Namenstypen Ic (Log- 
on Server) und /b (Domain Master 
Browser) der Domäne innehat. BAN- 
DO ist dabei der Windows-Name des 
Samba-Servers. 

Nun lassen sich schon Clients in die 
Domäne aufnehmen (,joinen“). Vor- 
aussetzung hierfür ist, dass der Samba- 
Benutzer „root“ in der Benutzerdaten- 
bank existiert. Dieser Benutzer ist der 
Domänenadministrator einer Samba- 
Domäne und immer berechtigt, Rech- 
ner in die Domäne aufzunehmen. Al- 
ternativ kann man auch einen normalen 
Benutzer mit dem Recht ausstatten. 
Das erfolgt über das Kommando ner 
rpc rights grant <benutzer> SeMachine 
AccountPrivilege. 

Damit die Domänenmitglieder auf 
die Benutzerdatenbank des Domänen- 
controllers zugreifen dürfen, benötigen 
sie ein Maschinenkonto in eben dieser 
Benutzerdatenbank. Beim Beitritt in ei- 
ne Domäne geschieht nichts anderes, als 
dass der PDC dieses Konto erzeugt und 
ein Passwort dafür festlegt. Ein Maschi- 
nenkonto ist grundsätzlich ein norma- 
les Benutzerkonto, dessen Name aber 
um ein “$“ erweitert wird. 

Ein Konto kann Samba allerdings nur 
dann anlegen, wenn auf dem System ein 
korrespondierendes Unix-Konto exis- 
tiert. Dieses kann man entweder manuell 
erzeugen oder Samba in der smb.conf 
ein Kommando zum Anlegen eines 
Maschinenkontos an die Hand geben. 
Dazu dient der Parameter add machine 
script. Ein gängiges Beispiel hierfür ist 
add machine script = /usr/sbin/useradd 
-d /nodir -s /bin/false ‚You. 

Tritt nun ein Client der Domäne bei, 
erzeugt Samba das Maschinenkonto 
Unix-seitig mit obigem Befehl. Das 
Makro %u ersetzt es durch den Namen 
der Maschine. Das ist deutlich komfor- 
tabler, als für jedes Domänenmitglied 
das Unix-Konto manuell anzulegen. 


Benutzerprofile 
auf dem Server ablegen 


Wenn Benutzer nicht ausschließlich an 
einem Arbeitsplatz tätig sind, sondern 
häufig die PCs wechseln, können ser- 
verbasierte Profile, sogenannte „Roa- 
ming Profiles“, sinnvoll sein. Hierbei 
erfolgt die Speicherung des Windows- 
Profils nicht lokal auf dem Client, son- 
dern auf dem Samba-Server. Das hat 
den Vorteil, dass den Benutzern an jeder 
Arbeitsstation, die Mitglied der Domäne 
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ist, nach der Anmeldung ihre eigene 
Umgebung (Hintergrundbild, Desktop- 
Links et cetera) zur Verfügung steht. 

Wo die Profile gespeichert werden, 
bestimmt der Parameter logon path. 
Standardmäßig erfolgt das auf dem Ser- 
ver, genauer gesagt im Verzeichnis pro- 
file, das sich im Heimatverzeichnis des 
jeweiligen Benutzers befindet. Da Profi- 
le von Windows 2000 und Windows XP 
nicht kompatibel sind, sollten Anwen- 
der, die beide Betriebssysteme einset- 
zen, diese Standardeinstellung nicht ver- 
wenden. Besser ist es, eine dedizierte 
Freigabe für die serverbasierten Profile 
zur Verfügung zu stellen, darin pro Be- 
nutzer ein Unterverzeichnis anlegen zu 
lassen und in diesem wiederum pro 
Windows-Version ein weiteres Unter- 
verzeichnis zu verwenden. 

Im globalen Abschnitt der smb.conf 
ist dazu logon path = \%N\profiles 
\%RU\%a zu setzen. %N steht für den 
NetBIOS-Namen des Servers, profiles 
bezeichnet die Profil-Freigabe. %U 
und %a sind Makros für den Benut- 
zernamen sowie die Architektur des 
Betriebssystems des Clients. Die Defi- 
nition der Freigabe könnte beispiels- 
weise wie folgt aussehen: 


[profiles] 
path = /data/profiles 
writeable = yes 
profile acls = yes 


Diese muss natürlich schreibbar sein, 
damit Samba dort überhaupt Profile 
speichern kann. Der Parameter profile 
acls = yes sollte in einer Profil-Frei- 
gabe immer gesetzt sein, allerdings in 
keiner anderen Freigabe. Es handelt 
sich dabei um einen Workaround für 
das Verhalten von Windows XP im 
Zusammenhang mit Roaming Profiles. 
Deshalb sollte man für die Profile auch 
eine separate Freigabe benutzen. Selbst- 
verständlich kann man die Verzeichnis- 
struktur in der Profil-Freigabe beliebig 
anders aufbauen. Wichtig ist allerdings, 
dass der jeweilige Benutzer in den Ver- 
zeichnissen Schreibrechte benötigt. 


A-TRACT 


© Samba kann den PDC einer NT4- 
Domäne vollständig ersetzen. 


© Ein Verzeichnisdienst ermöglicht 
eine zentrale Benutzerverwaltung, 
die viele Dienste nutzen können. 


@ Auch Samba lässt sich für 
die Authentifizierung an einen 
Verzeichnisdienst anbinden. 


Listing 1: nmblookup -A localhost 


bando:- # nnblookup -A localhost 
Looking up status of 127.0.0.1 
<» - 
BANDO > - 
BANDO 2b - 

Dom <1b> - B <ACTIVE> 

Dom lo - B <ACTIVE> 

Dom <1e> = <GROUP> B <ACTIVE> 

dom <00> - <GROUP> B <ACTIVE> 

MAC Address = 00-00-00-00-00-00 


B <ACTIVE> 
B <ACTIVE> 
B <ACTIVE> 


echo Uhrzeit mit dem Samba-Server synchronisieren 
net tine \\smbsrvi /set /yes 
echo Netzlaufwerke verbinden 
net use h: \\snbsrvi\share! 
net use 1: \\snbsrv\share2 


Listing 2: Beispiel eines Anmeldeskripts 


Meldet sich ein Benutzer an einer 
Domäne an, können die Clients auto- 
matisch Skripte ausführen. Oft erfolgt 
über solche Skripte die Einbindung von 
Netzlaufwerken oder das Synchronisie- 
ren der Systemzeit. Der Administrator 
kann jedem Benutzer ein eigenes Skript 
zur Verfügung stellen, aber auch grup- 
penbasierte Skripte einrichten. Ein ty- 
pisches Szenario für Letzteres wäre, 
dass für alle Mitglieder der Gruppe orga 
die gleichnamige Freigabe während des 
Anmeldevorgangs automatisch als Lauf- 
werk O: eingebunden wird. 

Voraussetzung für den Einsatz sol- 
cher Anmeldeskripte ist eine Freigabe 
namens netlogon. Da es sich um eine 
Freigabe mit spezieller Funktion handelt, 
darf der Freigabename nicht variieren. 


[netlogon] 
path = /var/lib/samba/netlogon 


browseable = no 


Zusätzlich zu obiger Definition der 
Freigabe netlogon, muss im globalen 
Abschnitt der smb.conf der Parameter 
logon script definiert sein: 


logon script = %U.bat 


Er bestimmt den Namen des auszufüh- 
renden Skripts. Die Angabe des logon 
script erfolgt immer relativ zur Netlog- 
on-Freigabe. Listing 2 zeigt, wie ein 
Anmeldeskript aussehen kann. 


Verzeichnisdienst 
für Samba vorbereiten 


In größeren Umgebungen kann es sinn- 
voll sein, die Systembenutzer in einer 
LDAP-Datenbank zu verwalten. Hier 
kann man Benutzer und deren Attribu- 
te zentral verwalten und die Daten- 
bank auf andere Server replizieren. 
Das stellt sicher, dass die Kennungen 
und Gruppen auf allen Systemen exis- 
tieren und überall dieselben UIDs/ 
GIDs haben. Diverse Dienste können 
Benutzerdaten aus LDAP-Verzeich- 
nissen auslesen. 
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Auch Samba-User lassen sich in 
LDAP-Datenbanken verwalten. Vor- 
aussetzung dafür ist ein laufender 
LDAP-Server. In diesem Tutorial dient 
dafür die Open-Source-Implementie- 
rung OpenLDAP. Samba arbeitet aber 
auch mit jedem anderen LDAP-Server 
zusammen. 

Da eine komplette Einführung in 
OpenLDAP den Rahmen dieses Tutori- 
als sprengen würde, erläutert dieser Arti- 
kel nur die wichtigsten Aspekte. Für tie- 
fer gehende Informationen sei auf unser 
LDAP-Tutorial verwiesen [1-3], Lis- 
ting 3 zeigt, wie eine ganz einfache 
OpenLDAP-Konfiguration aussehen 
kann. Wichtig ist, dass OpenLDAP 
das Samba-Schema einbindet, dies er- 
ledigt die Zeile 


include /etc/openldap/schema/samba3.schema 


Ohne dieses Schema stehen die von 
Samba benötigten Attribute und Objekt- 
klassen wie sambaSamAccount nicht zur 
Verfügung. Außerdem muss man mit 
suffix die Basis des LDAP-Baums be- 
schreiben und via rootdn den Adminis- 
trator der LDAP-Datenbank festlegen: 


suffix "dce=samba,dc=org" 
rootdn "cn=Manager,dc=samba,dc=org" 


Es ist sinnvoll, für Samba einen sepa- 
raten Benutzer anzulegen, der sich mit 
dem LDAP-Server verbindet. So lässt 


sich später über Access Control Lists 
(ACLs) genau definieren, welche Ände- 
rungen Samba vornehmen darf und 
welche nicht. Der rootdn darf stets alle 
Attribute ändern und ist daher aus Si- 
cherheitsgründen nicht geeignet. 

Mit dieser Konfiguration wird der 
LDAP-Server gestartet. Die LDAP-Da- 
tenbank ist jetzt noch leer. Die in der 
slapd.conf angegebene Grundstruktur 
der Datenbank und Container für Be- 
nutzer, Gruppen und Maschinenkonten 
existieren noch nicht. Für die Grund- 
struktur und die ersten beiden Benutzer 
(samba und Manager) lässt sich die in 
Listing 4 gezeigte LDIF-Datei (LDAP 
Data Interchange Format) verwenden. 
Das Beispiel legt den Benutzer samba 
mit gleichnamigem Passwort an. Dass 
man Letzteres im realen Einsatz durch 
ein sicheres Passwort ersetzen sollte, 
versteht sich von selbst. 

Wenn der LDAP-Server läuft, kann 
der Administrator die Datei mit dem 
Kommando /dapadd -f /tmp/samba. 
ldif -x-W -D „cen=Manager,dce=samba, 
dc=org“ einlesen. Anschließend befin- 
den sich die in der Datei beschriebenen 
Objekte in der LDAP-Datenbank. Den 
Erfolg kann man mit slapcat oder einem 
beliebigen grafischen LDAP-Browser 
wie Luma oder GQ überprüfen. 

Vor dem Samba-Start fehlen noch 
der Samba-Gastbenutzer nobody und 


Listing 3: Einfache LDAP-Konfiguration 


pidfi 
argsf 
modul 
acces 


acces 


acces 


acces 


acces 


de lete/openldap/schema/core.schena 
de lete/openldap/schema/cosine.schena 
de lete/openldap/schema/inetorgperson.schena 
de lete/openldap/schema/nis.schena 
de lete/openldap/schema/yast.schena 
de lete/openldap/schema/samba3.schena 
le /var/run/slapd/slapd.pid 

ile /var/run/slapd/slapd.args 

epath Jusr/Lib/openldap/nodules 

s to dn.base="" 

by dn="en=samba,de=sanba,dezorg" write 
by * read 

s to dn.base="en=$ubschena" 

by * read 

s to attrszuserPassword,userPKC$12 

by self write 

by * auth 

s to attrs=shadonLastChange 

by self write 

by * read 

sto* 


Listing 4: Import via samba.ldif 


dn: de=samba,de=org 

objecttlass: top 

objecttlass: de0bject 
objecttlass: organization 

0: sanba.org 

de: sanba 

dn: cn=Manager,de=samba,dc=org 
objecttlass: sinpleSecurityObject 
objecttlass: organizationalRole 
cn: Manager 

description: LDAP administrator 
userPassword: secret 

dn: en=sanba,de=sanba,dc=org 
objecttlass: sinplesecurityObject 
objecttlass: organizationalRole 
en: samba 

description: Samba user to connect to LDAP 
userPassword: samba 

dn: ouzusers,de=sanba,dc=org 
objecttlass: top 

objecttlass: organizationallnit 


by dn="en=samba,de=sanba,de=org" write ou: users 

by * read Ein] 
MER R RRRRRRRHRHRHEHRHRHRHRHRHRHRHRHRHR ou: groups 
# BDB database definitions [us] 
HERE ER RHRHRHEHRHBHRHRHRHRHRHRHRHEHRHRHRHRHRHRHRHRHRHR ou: idnap 
database bdb kasal 
suffix "dezsanba,dezorg" ou: computers 
checkpoint 10245 
cachesize 10000 
rootdn "en=Manager ‚de=sanba,dezorg" —— —— = = 
rootpu secret Listing 5: Winbind-Konfiguration 
directory /var/Lib/Ldap 
# Indices to naintain workgroup = DON 
index  objectllass eg idnap domains = DON 
index uidNunber eq idmap alloc backend = ldap 
index gidNunber eg idnap alloc config: ldap_base_dn = 
index nemberlid eq ouzidnap,de=samba,de=org 
index  sanbas1D eq idnap alloc config: ldap_user_dn = 
index  sanbaPrimaryGroupsIDd eq en=sanba,de=sanba,dc=org 
index  sanbadomainName eq idnap alloc config: ldap_url = Ldap://Llocalhost 
index default sub idnap alloc config:range = 50000-500000 
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ein paar andere Samba-Objekte in der 
LDAP-DB. Das Kommando ner sam 
provision bereitet die LDAP-DB auf 
Samba vor, indem es die fehlenden 
Objekte anlegt. Voraussetzung für die 
Verwendung dieses Kommandos ist 
ein richtig konfigurierter und laufen- 
der Winbind-Daemon. 


Anpassungen der 
Winbind-Konfiguration 


Früher diente der Winbind, wie im 
zweiten Teil der Tutorials beschrieben, 
ausschließlich zum Einsatz auf Mit- 
gliedsservern. Das ist aber inzwischen 
überholt. Beim Anlegen der Benutzer 
muss Samba UIDs und GIDs allozieren, 
und diese Aufgabe kann Winbind über- 
nehmen. Die in Listing 5 beschriebene 
Konfiguration funktioniert mit Samba- 
Versionen ab 3.0.25. 

idmap domains listet alle Domänen 
auf, idmap alloc backend bestimmt den 
Speicherort der Zuordnungen von Win- 
dows-SIDs zu Unix UIDs/GIDs. In die- 
sem Fall soll das sogenannte Identity 
Mapping im LDAP erfolgen. Die dar- 
auffolgenden idmap alloc config-Ein- 
stellungen definieren Details zu diesem 
Backend. /dap_base_dn beschreibt, an 
welcher Stelle des LDAP-Baums Win- 
bind die Zuordnungen speichert. /dap_ 
user_dn gibt den Benutzer für die Ver- 
bindung zum LDAP-Server an. /dap_url 
nennt die URL des LDAP-Servers und 
range legt den Bereich fest, aus dem 
UIDs und GIDs stammen können. Für 
den erfolgreichen Verbindungsaufbau 
zum LDAP-Server muss man noch das 
Passwort des /dap_user_dn hinterlegen. 
Dies erfolgt mit dem Aufruf net idmap 
secret alloc samba. 


Samba mit dem 
LDAP-Server verbinden 


Damit Samba mit einem LDAP-Server 
zusammenarbeitet, sind weitere Ein- 
stellungen erforderlich. Zunächst muss 
man das Benutzer-Backend mit passdb 
backend = Idapsam auf LDAP umstel- 
len. Dadurch greift Samba beispiels- 
weise beim Auflisten der Benutzer auf 
den lokalen LDAP-Server zu. 

Damit der Samba-Server nun erfolg- 
reich eine LDAP-Anfrage ausführen 
kann, muss er sich mit dem LDAP- 
Dienst verbinden. Dazu benötigt er in 
der Regel einen Benutzer, da sich ano- 
nym nicht alle erforderlichen Daten ab- 
fragen lassen. Welchen Samba hierfür 
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nutzt, legt Idap admin dn fest. Am be- 
sten ist hierfür eine dedizierte Benutzer- 
kennung. Auf jeden Fall sollte man an 
dieser Stelle aus Sicherheitsgründen 
nicht den rootdn der LDAP-Konfigura- 
tion verwenden. 

Ein LDAP-Server speichert Objekte 
zur Verbesserung der Übersichtlichkeit 
in unterschiedlichen Containern, den 
sogenannten „organizational units“ (ou). 
So existiert in der Regel — wie auch in 
Listing 4 zu sehen — ein Container für 
Benutzer (beispielsweise ou=users), ei- 
ner für Gruppen (zum Beispiel ou= 
groups) und einer für die Maschinen- 
konten der Domänenmitglieder (zum 
Beispiel ou=computers). Damit Samba 
funktionierende LDAP-Suchfilter zu- 
sammensetzen und auch Benutzer- 
oder Maschinenkonten anlegen kann, 
muss sich der Aufbau der LDAP-Da- 
tenbank zumindest teilweise in der 
smb.conf widerspiegeln. Dazu dienen 
einige Parameter: Idap suffix benennt 
die Basis des LDAP-Verzeichnisses 
und entspricht suffix in der LDAP-Kon- 
figurationsdatei slapd.conf. ldap user 
suffix bezeichnet den Container für die 
Benutzer (relativ zum /dap suffix), ldap 
group suffix ist das Pendant für die 
Gruppen (relativ zum /dap suffix) und 
ldap machine suffix das für die Maschi- 
nenkonten (relativ zum /dap suffix). 
ldap idmap suffix schließlich gibt den 
Container für die Zuordnungen von 
Windows SIDs zu Unix UIDs/GIDs 
(relativ zum /dap suffix) an. 

Mit Idapsam.editposix kann Samba 
im LDAP-Verzeichnis selber Konten an- 
legen. Damit erübrigt sich die Verwen- 
dung zusätzlicher Skripte wie smbldap- 
tools oder Idapsmb. Das ist ein großer 
Vorteil, da die Konfiguration solcher 
Skripte durchaus ihre Tücken haben 
kann. Voraussetzung für die Verwen- 
dung von Idapsam:editposix ist, dass 
ldapsam:trusted ebenfalls aktiv ist. Ein 
komplettes Beispiel der LDAP betref- 
fenden Konfigurationsparameter findet 
sich in Listing 6. 

Wie oben erwähnt, verwendet Samba 
den via ldap admin dn definierten Benut- 
zernamen, um sich mit dem LDAP-Ser- 
ver zu verbinden. Für diesen muss man 
noch per smbpasswd -W das zugehörige 
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Passwort hinterlegen. Jetzt lässt sich 
die LDAP-DB mit dem Aufruf ner sam 
provision um die für Samba notwendi- 
gen Objekte erweitern (siehe Listing 7). 
Anschließend starten auch smbd und 
nmbd erfolgreich. 

Mit pdbedit -L kann man sich nun 
testhalber die Liste der Samba-Benut- 
zer anzeigen lassen. Klappt der Ver- 
bindungsaufbau mit dem LDAP-Ser- 
ver, liefert der Aufruf eine Liste aller 
Benutzer. Falls nicht, muss man auf 
Fehlersuche gehen. Der erste Schritt 
sollte verifizieren, ob der LDAP-Server 
überhaupt läuft und ob ein Verbindungs- 
aufbau als /dap admin dn funktioniert. 
Dazu kann beispielsweise folgender Be- 
fehl dienen: 


Idapsearch -x -D "cn=samba,dc=samba,dc=7 
org" -W -b "de=samba,de=org" objectClass=* 


Eine beispielhafte Samba-Konfiguration 
mit LDAP-Anbindung stellt Listing 8 
dar. Serverbasierte Profile, Home-Lauf- 
werke und Anmeldeskripte fehlen hier 
zur Verbesserung der Übersichtlichkeit. 


Modifikationen 
am Betriebssystem 


Schon der erste Teil des Tutorials erläu- 
terte, dass Samba-Benutzer immer ein 
gleichnamiges Unix-Konto als Pendant 
haben müssen, damit eine UID vorhan- 
den ist und der Kernel die Zugriffskon- 
trolle durchführen kann. Der große Vor- 
teil des Winbind in solch einem Setup 
liegt darin, dass er Benutzer- und Ma- 
schinenkonten zur Verfügung stellen 
kann. Im Endeffekt sorgt er dafür, dass 
Samba die Konten in der LDAP-Daten- 
bank anlegt. 

Diese Benutzer muss aber auch das 
Betriebssystem kennen, um beispiels- 
weise auf Dateisystemebene Zugriffs- 
rechte überprüfen zu können. Dazu 
muss der Administrator den „Name 
Service Switch“-Mechanismus so kon- 
figurieren, dass das System sowohl 
Winbind als auch LDAP nach Benut- 
zern und Gruppen fragt. Dazu muss er 
in /ete/nsswitch.conf die passwd- und 
group-Anweisungen um die Einträge 
ldap und winbind erweitern: 


passwd: compat Idap winbind 
group: compat Idap winbind 


Voraussetzung hierfür ist, das die Bi- 
bliotheken libnss_winbind.so (im Sam- 
ba-Winbind-Paket enthalten) und libnss 
_lIdap.so.2 (extra LDAP-Paket, bei- 
spielsweise nss_ldap) auf dem System 
vorliegen. 


Listing 6: LDAP-Anpassungen der smb.conf 


passdb backend = Ldapsan 

Ldap admin dn = cn=samba,de=samba,dc=org 
Idap suffix = de=sanba,dezorg 

Idap user suffix = ouzusers 

Ldap group suffix = ou=groups 

Ldap machine suffix = ou=computers 

Ldap idmap suffix = ou=idnaps 
Ldapsam:trusted = yes 

Ldapsam:editposix = yes 


Listing 7: LDAP-Datenbank bevölkern 


bando:- # net sam provision 
Checking for Domain Users group. 
Adding the Domain Users group. 
Checking for Domain Admins group. 
Adding the Domain Admins group. 
Check for Administrator account. 
Adding the Administrator user. 
Checking for Guest user. 

Adding the Guest user, 

Checking Guest's group. 

Adding the Domain Guests group. 


Listing 8: Samba-Konfiguration mit LDAP 


[global] 
# Samba als PDC 
workgroup = DON 
security = user 
domain Llogons = yes 
domain master = yes 
# WINS-Server 
wins support = yes 
# Informationen fuer LDAP-Zugriffe 
passdb backend = Ldapsan 
Idap admin dn = cn=sanba,de=samba,dezorg 
Idap suffix = de=sanba,dezorg 
Idap user suffix = ouzusers 
Idap group suffix = ou=groups 
Idap machine suffix = ou=computers 
Idap idmap suffix = ou=idmaps 
Idapsan:trusted = yes 
Idapsan:editposix = yes 
# Winbindd-Konfiguration 
idmap domains = DOM 
idmap alloc backend = ldap 
idmap alloc config: ldap_base_dn = ou=idmap,de=sanba,de=org 
idmap alloc config: ldap_user_dn = cn=samba,de=sanba,de=org 
idnap alloc config:ldap_url = Ldap://Localhost 
idnap alloc config:range = 50000-500000 


Listing 9: /etc/Idap.conf 


host 127.0.0.1 

base de=samba,dc=org 
Ldap_version 3 
bind_policy soft 
binddn cn=Manager,‚de=samba,dc=org 
bindpu secret 

rootbinddn en=Manager ‚de=sanba,de=org 
port 389 

#ssl start_tls 
scope sub 
pan_password crypt 
nss_base_passud 
nss_base_group 


de=samba,de=org?sub 
ou=groups,de=samba,de=org?one 


Listing 10: root.Idif 


dn: cnzroot,ou=groups,de=sanba,dc=org 

objectClass: posixGroup 

objectllass: sambaGrouplapping 

en: root 

gidNunber: 0 

sanbaSIDd: $-1-5-21-634692503-4291501469-4281879028-1008 
sambaGroupType: 2 

displayName: Unix Group root 

description: Unix Group root 

dn: uid=root,ou=users,de=sanba,dc=org 

objectllass: account 

objectClass: posixAccount 

objectllass: sanbaSamAccount 

uid: root 

en: root 

uidNumber: 0 

homeDirectory: /root 

sanbaS1Dd: $-1-5-21-634692503-4291501469-4281879028-1000 
displayName: root 

sambaPasswordHistory: 
00000000000000000000000000000000000000000000000000000000 
sambaAcetFlags: LU ] 

gidNunber: 0 
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Nach dem 
Domänenbeitritt 
eines Rechners 


taucht das 
Maschinenkonto 
automatisch im 
LDAP-Baum auf 
(Abb. 3). 


Damit nun das Linux-System den 
LDAP-Server abfragen kann, sind auch 
hier noch einige Dinge zu konfigurieren. 
Das geschieht in der LDAP-Client-Kon- 
figurationsdatei /etc/ldap.conf (siehe 
Listing 9). 


Anlegen eines 
Benutzers als Test 


Hierbei kommt es vor allem auf fol- 
gende Einstellungen an, das vollstän- 
dige Beispiel gibt es über den iX-Lis- 
tingservice: host nennt Hostname/ 
IP-Adresse des zu befragenden LDAP- 
Servers und base die Basis des LDAP- 
Baums (siehe slapd.conf). binddn gibt 
den Benutzer zum Verbinden mit dem 
LDAP-Server an und bindpw das da- 
zugehörige Passwort. nss_base_passwd 
bezeichnet den Container für die Be- 
nutzer und nss_base_group den mit 
den Gruppen. ss! start_tls sorgt für eine 
verschlüsselte Verbindung. In dieser 
einfachen Beispielkonfiguration ohne 
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Verschlüsselung muss man diese Ein- 
stellung deaktivieren. 

Nun sollte auch getent passwd die 
Unix-Benutzer aus dem LDAP-Ver- 
zeichnis auflisten. Zu Testzwecken kann 
man einen Beispielbenutzer anlegen. 

Vor dem Ausprobieren, ob das Anle- 
gen neuer Benutzer funktioniert, muss 
man den Benutzer root im LDAP-Baum 
anlegen. Da dieser als primäre Gruppe 
der Gruppe root mit der GID 0 zugeord- 
net ist, ist auch diese Gruppe anzulegen. 
Listing 10 zeigt eine passende LDIF- 
Datei. Dabei muss man darauf achten, 
das Attribut sambasSID für beide Objek- 
te vor der Anwendung an den korrekten 
Domänen-SID anzupassen. Anschlie- 
Bend fügt der Aufruf 


Idapadd -x -D "cn=Manager,dc=samba,dc=7 
org" - /tmp/root.ldif -W 


die Objekte in den LDAP-Baum ein. Ein 
nachfolgendes smbpasswd root setzt das 
Samba-Passwort für den Benutzer root. 
Nun lässt sich per net rpc user add 
userl -U root testen, ob Samba tatsäch- 


lich Unix- und Samba-Konten anlegen 
kann. Nach der Passwortabfrage sollte 
das Kommando Added user user] zu- 
rückliefern. Mit einem LDAP-Browser 
wie GQ lässt sich das Ergebnis überprü- 
fen, Abbildung 1 zeigt den neu angeleg- 
ten Benutzer. 

Ein weiterer Test ist das Hinzufügen 
eines Rechners in die Domäne. Auch 
das sollte jetzt problemlos funktionieren 
(siehe Abb. 2). Wie in Abbildung 3 zu 
sehen, taucht das Maschinenkonto nach 
dem erfolgreichen Beitritt der Domäne 
in der LDAP-DB auf. 


Fazit 


Obwohl immer mehr Hilfsmittel wie net 
sam provision und ldapsam:editposix 
Administratoren das Leben inzwischen 
etwas erleichtern, ist gerade das Verbin- 
den von Samba mit LDAP kein einfa- 
ches Unterfangen. Es gibt viele Hürden 
und Stolpersteine. 

Im Laufe dieses Tutorials sollte deut- 
lich geworden sein, dass Samba sehr 
viele Aufgaben bewältigen kann und 
sich gewisse Grundfunktionen wirklich 
einfach und schnell in Betrieb nehmen 
lassen. Wer an dieser Stelle ins Zwei- 
feln kommt, kann gerne mal einen Win- 
dows NT4-PDC und einen Samba-PDC 
parallel aufsetzen ... ;-) 

Es gibt allerdings auch komplexe- 
re Setups und dazu zählt sicherlich 
die Anbindung an einen Verzeichnis- 
dienst. (avr) 
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Tools und Tipps 


Automatische Makefile-Rebuilds verhindern 


Ausgetrickst 


Michael Riepe 


Gnu-Tools wie automake 


erleichtern Entwicklern die Arbeit 
erheblich. Auf der Anwenderseite 
verursachen sie jedoch gelegentlich 


Schwierigkeiten - die man mit ein paar Tricks umgehen kann. 


wenden viele Entwickler von Open- 

Source-Software immer noch make, 
um ihre Programme zu übersetzen. 
Allerdings schreiben sie die Makefiles 
immer seltener selbst. Stattdessen set- 
zen sie meist die Gnu-Tools automake 
und autoconf ein. 

Während automake dem Entwickler 
die Arbeit enorm erleichtert, hält es für 
den Anwender einige Tücken bereit. So 
enthält ein von automake generiertes 
Makefile nicht nur die Übersetzungs- 
regeln, sondern auch Anweisungen, 
wie das Makefile selbst neu zu generie- 
ren ist. Die schlagen immer dann zu, 
wenn die Zeitstempel der betroffenen 
Dateien durcheinandergeraten — etwa 
beim Kopieren der Dateien oder beim 
Einspielen von Patches. Aber auch, 
wenn das Arbeitsverzeichnis per NFS 
gemountet ist und die Uhren von Client 
und Server nicht synchron laufen. 


T:- zahlreicher Alternativen ver- 


Lästige Automatik 


Hat man die passenden Werkzeuge in- 
stalliert, generiert make in so einem Fall 
zuerst die gesamte Übersetzungs-Infra- 
struktur neu: Aus jedem Makefile.am 
entsteht ein Makefile in, aus configure.in 
oder configure.ac sowie dem ebenfalls 
automatisch erzeugten aclocal.m4 baut 
autoconf ein neues configure zusammen. 
Das startet anschließend erneut, um aus 
jedem modifizierten Makefile.in ein neu- 
es, aktuelles Makefile zu erzeugen. 
Dabei kann allerhand schiefgehen — 
vor allem, wenn der Nutzer andere Ver- 
sionen von automake und autoconf in- 
stalliert hat als der Entwickler. Oft sind 
die generierten Makefiles unbrauchbar. 
Auch beschwert sich autoconf häufig 
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über undefinierte Makros, weil der Er- 
neuerungsprozess ein unvollständiges 
aclocal.m4 erzeugt hat. In dem Fall 
schlägt generell auch der erneute confi- 
gure-Lauf fehl — die Software lässt sich 
nicht mehr übersetzen. 

Zwar kann man falsche Zeitstempel 
oft mit dem Befehl make -t korrigieren: 
Statt die gewünschten Dateien neu zu 
übersetzen, setzt das Kommando ein- 
fach ihre mtime auf die aktuelle Uhrzeit. 
Das funktioniert jedoch nicht beim 
Makefile selbst oder bei den Dateien, 
aus denen es entsteht, weil make darauf 
besteht, sie zu aktualisieren, bevor es 
mit der eigentlichen Arbeit beginnt. 


Touch-a, 
touch-a, touch me 


Will der Nutzer automake ein Schnipp- 
chen schlagen, muss er daher selbst 
Hand anlegen — etwa indem er die Zeit- 
stempel der „veralteten“ Dateien mit 
dem Programm touch neu setzt. Aller- 
dings muss er dabei Vorsicht walten las- 
sen: touch legt normalerweise Dateien 
an, falls sie noch nicht existieren. Bei 
der Gnu-Version kann man dem mit der 
Option -c entgegenwirken. 

Eine Liste der zu „berührenden“ Da- 
teien kann man mit find zusammenstel- 
len. Es empfiehlt sich jedoch, nicht nach 
den Zieldateien — etwa Makefile.in — zu 
suchen, sondern nach den Ursprungs- 
dateien, aus denen sie entstehen. An- 
schließend kann man mit sed die Na- 
men ändern (siehe Listing 1). 

Neben Makefiles kann configure 
auch Header-Dateien mit Definitionen 
erzeugen, die sich direkt in C/C++- 
Code einbinden lassen. Gewöhnlich 
hören sie auf den Namen config.h. Das 


Programm autoheader erzeugt dazu ein 
passendes Template, in der Regel con- 
fig.h.in. Der Entwickler kann jedoch 
in configure.in beziehungsweise confi- 
gure.ac beliebige Namen vorgeben. Die 
Zeile AC_CONFIG_HEADER(defs.h) 
etwa veranlasst autoheader, eine Datei 
defs.h.in zu erstellen, aus der später 
defs.h entsteht. Soll die Template-Datei 
zum Beispiel defs.in heißen, kann man 
ihren Namen mit einem Doppelpunkt 
getrennt anhängen: defs.h:defs.in. 

Da configure.in und configure.ac für 
den Unix-Makroprozessor m4 geschrie- 
ben sind, bietet es sich an, auch die Na- 
men der Templates mit einem m4-Skript 
zu extrahieren (siehe Listing 2). Der Be- 
fehl sinclude bindet eine andere Datei 
ein, sofern sie existiert. Mit divert lässt 
sich die Ausgabe dirigieren: divert(O) 
schickt den folgenden Text zur Stan- 
dardausgabe, divert(-1) ins digitale Nir- 
vana. dnl leitet einen einzeiligen Kom- 
mentar ein. In der Ausgabe des Skripts 
erscheinen daher nur die Argumente der 
vorher definierten Makros. 

Die for-Schleife in der Shell-Funk- 
tion findfiles bereitet die gelieferten Na- 
men auf. Damit der Aufruf von m4 
funktioniert, müssen die Skripte im sel- 
ben Verzeichnis liegen und - bis auf die 
zusätzliche Endung .m4 - denselben Na- 
men besitzen. Beim Autor leisten die 
beiden als autofool und autofool.m4 seit 
Jahren gute Dienste. (mr) 


findfilesO) { 
find . -name aclocal.m4 -print 
find . name configure.in -print | sed 's,\.in$,," 
find . name configure.ac -print | sed 's,\.ac$,," 
find . -name Makefile.an -print | sed 's,\.an$,.in,! 
for f in $(n4 $0.m4); do 
case $f in 
(xx) echo Sfkxt};; 
(x) echo $f.in;; 
esac 
done 
} 
touch -c $Cfindfiles) 


Ein einfaches Shell-Skript setzt die Zeit- 
stempel der gewünschten Dateien neu. 


Listing 2 


divert(-1) 

define("AC_CONFIG_HEADERS", "divert(0)'$1 
“divert(-1)")dnl 
define("AC_CONFIG_HEADER", "divert(0)'$1 
“divert(-1)")dnl 
define("AN_CONFIG_HEADER", "divert(0)'$1 
“divert(-1)")dnl 

changequote(L, ]) 
sinclude(configure. in) 
sinclude(configure.ac) 

divert(O)dnl 


Die zusätzlich benötigten Datei- 
namen lassen sich mit wenigen Zeilen 
m4-Code extrahieren. IR 
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Internet-Infos 


Universal Serial Bus mal anders 


Fröhliche 
Busfahrte 


Kai König 


Seit der Einführung von USB gehören 

frühere PC-Peripherieschnittstellen der Vergangenheit an. 

Der universelle Bus ist aber nicht nur für Druckerschnittstellen et 
cetera gut, sondern bringt auch die Puppen zum Tanzen. 


ie Spezifikation des Universal Se- 
D:: Bus haben 1995 Microsoft, 

Intel, Philips und US Robotics er- 
arbeitet. Ziel war ein neuer und einheit- 
licher Peripheriebus für PC-Systeme 
und die langfristige Ablösung von Paral- 
lelport, verschiedenen seriellen Schnitt- 
stellen, PS/2-Bus sowie externen SCSI- 
Geräten. Es erscheint rückblickend nicht 
verwunderlich, dass es weitere drei Jah- 
re und USB 1.1 brauchte, um die Kin- 
derkrankheiten der Plattform auszubü- 
geln. Mit der Version 2.0 schwenkte 
USB ab 2000 auf Erfolgskurs - nicht 
zuletzt aufgrund einer deutlichen Ver- 
besserung der Übertragungsbandbreite 
mit Hi-Speed USB (480 MBit/s). 

Heute existieren verschiedene Er- 
weiterungen der USB-Spezifikation, die 
im Jahr 2008 verwendete Version ist 
allerdings immer noch die 2.0. Das USB 
Implementers Forum (www .usb.org/ 
home/) als die für die Spezifikation und 
Plattformentwicklung verantwortlich 
zeichnende Industrieorganisation arbei- 
tet zurzeit an USB 3.0 - eine Spezifika- 
tion soll noch in diesem Jahr kommen, 
und erste kommerzielle Produkte sind 
für 2009 oder 2010 zu erwarten. 

Schaut man sich auf dem Markt der 
erhältlichen USB-Geräte um, findet man 
zunächst eine Vielzahl sinnvoller und 
nützlicher Peripheriegeräte wie Tastatur, 
Maus, Drucker, Scanner oder externe 
Laufwerke. In die letzte Kategorie fal- 
len die oft locker als „USB-Stick“ oder 
„Flashdrive“ bezeichneten Speicherme- 
dien. Mit der USB-Spezifikation im 
Hinterkopf handelt es sich dabei um Ge- 
räte der Klasse 08h (Mass Storage). Bei 
dem zurzeit hinsichtlich der Speicherka- 
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pazität größten erhältlichen Flashdrive 
im Format eines USB-Sticks scheint es 
sich um das 64 GByte fassende USB 
2.0 Bus Drive Pro 2 der Firma Buslink 
zu handeln (www.buslinkbuy.com/pro 
ducts.asp?sku=BDP2%2D646%2DU2). 
Der Preis ist ebenfalls ordentlich: Für 
schlappe 4399,99 US-Dollar kann man 
das Speichermedium sein Eigen nennen. 


Strom aus eigener Quelle 


Auf die technischen Details von USB 
soll dieser Artikel nicht eingehen (in- 
teressierte Leser können im Wikipedia- 
Eintrag zu USB unter en.wikipedia.org/ 
wiki/Universal_Serial_Bus eine Viel- 
zahl weiterführender Informationen zu 
USB finden). Im Zentrum steht hier vor 
allem die Tatsache, dass die USB- 
Schnittstelle eine Stromzufuhr für Peri- 
pheriegeräte bereitstellt. Dabei handelt 
es sich um eine Spannung von 5 Volt 
und eine maximale Stromstärke von 
500 mA. Die Spezifikation sieht auch 
verschiedene Ausnahmen für USB- 
Hubs mit oder ohne eigene Stromzufuhr 
vor, für einzelne Peripheriegeräte kann 
man jedoch mit den hier angegebenen 
Werten als Richtschnur gut arbeiten. 
Inspiriert durch den im Web-Kurio- 
sitätenkabinett der Ausgabe 8/2006 
vorgestellten USB-Cooler (www.hei 
se.de/ix/artikel/2006/08/156/) hat sich 
der Autor auf die Suche nach anderen 
Absonderlichkeiten im Dschungel der 
USB-Peripheriegeräte gemacht. Wäh- 
rend der letzten Jahre und seit dem 
Erscheinen von USB 2.0 hat sich ein 
bislang ungeahnter Markt von USB- 


Gadgets aller Art entwickelt - man kann 
fast schon davon ausgehen, dass es zu 
einem x-beliebigen Spielzeug, Gimmick 
oder anderen Zeitverschwender auch ei- 
ne USB-Version gibt - solange die vom 
USB-Port gelieferten 5 V und 500 mA 
ausreichend Strom liefern. 

Im Zuge der grassierenden Green-IT- 
Welle ist der Ecobutton (www .eco-but 
ton.com) zu betrachten. Dabei handelt es 
sich um einen Quizbuzzer-ähnlichen 
USB-Knopf, der als visuelle Erinnerung 
an die verschiedenen Energiesparmodi 
eines PCs dienen soll. Drückt der Benut- 
zer ihn, schaltet die dazugehörige Soft- 
ware den PC in einen Energiespar- 
modus. Der Nutzen ist offensichtlich, 
wenngleich sich ein identischer Effekt 
mit der konsequenten Nutzung der sys- 
temseitigen Energiesparfunktionen er- 
zielen ließe oder der Bediener den PC 
einfach nach vollendeter Arbeit ab- 
schalten könnte. Menschen sind aber of- 
fensichtlich eher dazu bereit das zu tun, 
wenn sie einen runden Schalter mit ei- 
ner ebenso runden 2D-Karte der Welt 
vor sich liegen haben. Eine Version für 
den Mac ist im Moment noch nicht er- 
hältlich, aber bereits angekündigt. 

In Urlaubsorten oder im Vergnü- 
gungsviertel der nächsten Großstadt fin- 
det man oft Automatenspielhallen oder 
„Arcades“. Neben Rennsimulatoren 
und Spielen wie Pacman oder Space 
Invaders sind Tanzautomaten ein be- 
liebter Spaß. Die USB-Version davon 
(www.gadgetshop.com/Gadgets/Techno 
Gadgets/USB_Gadgets/PRDOVR-2972 
42/USB+Dance+Mat.jsp) benötigt eine 
Grundfläche von nur 100 Quadratzen- 
timetern, und Zeige- sowie Mittelfinger 
übernehmen die Funktion der Beine. 
Das Set kommt mit einer kleinen Tän- 
zerinnenpuppe aus Pappe, die man sich 
für den gepflegten Büro-Fingertanz- 
wettbewerb überstreifen kann. 

Ins Büroumfeld passt auch der 
USB WPM Speedometer, ein Tacho- 
meter-ähnliches USB-Gerät, das die 
Tippgeschwindigkeit eines PC-Bedie- 
ners misst (www .ubergizmo.com/15/ 
archives/2008/02/usb_wpm_speedome 
ter.html). Als Extra-Gimmick bietet es 
einen täglichen Wortzähler und eröff- 
net somit direkt mehrere Möglichkeiten 
für spannende Unterhaltung während 
der Arbeitszeit. 

Nachdem die Wettkämpfe dann ge- 
laufen sind, ist zu erwarten, dass ver- 
schiedene (unterlegene) Kollegen ihre 
aufgestauten Spannungen und Aggres- 
sionen abbauen müssen. USB-getrie- 
bene Raketenwerfer (mit Raketen aus 
Schaumstoff) sind ja inzwischen bereits 
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ein alter Hut (www.thinkgeek.com/ 
geektoys/warfare/8a0f/). Neu hingegen 
ist die Variante mit Webcam und Unter- 
stützung für MSN Instant Messenger 
(usb.brando.com.hk/prod_detail.php? 
prod_id=00401). Mit diesen Spielzeu- 
gen bekommt auch der tägliche Kampf 
um den Bürolocher eine neue Qualität. 
Zwei weitere Alternativen zum Ab- 
bau von Bürofrustration sind der Punch 
Head und das USB Whack It. Beim 
Punch Head (www .punch-head.com) 
handelt es sich um ein generisches 
Gummigesicht mit USB-Anschluss und 
einer Software, die am Monitor die Aus- 
wirkungen jeglicher Interaktion mit dem 
Punch Head am Foto des Lieblingsfein- 
des anzeigt. Die kommerzielle Verfüg- 
barkeit ist für März 2008 angekündigt. 
Das USB Whack It (www.gi200.c0. 
uk/Products/PCGaming/PCGagets/USB 
Whacklt.htm) ist eine Variante des 
Spiels Whack-a-mole, bei dem man 
kleine Plastiktiere mit einem Gummi- 
hammer schlagen muss, sobald ein Me- 
chanismus sie nach oben schnellen lässt. 
Anstelle von Maulwürfen bieten ver- 
schiedene Versionen nahezu beliebig 
viel anderes Getier. USB Whack It ist 
friedlicher und man nutzt nur den Zei- 
gefinder, um kleine Männchen schnell 
wieder in ihre Halterungen zu drücken. 


Für friedliche Entspannung sorgt der 
USB Putter Returner (www .gadgetshop. 
com/Gadgets/TechnoGadgets/USB_Gad 
gets/PRDOVR-322644/USB+Putter+ 
Returner.jsp). Als kleines Tischgerät 
findet es seinen Platz selbst in der 
kleinsten Schreibtischnische und er- 
laubt es auch Mitarbeitern ohne Chef- 
büro, an ihrem Handicap zu arbeiten. 
Der elektrische Mechanismus des USB 
Putter Returner sorgt dafür, dass der 
Ball wieder zum Putter zurückkommt 
und man nahtlos weiter üben kann. Der 
Höhepunkt der Entspannung und Sinn- 


ij ” . Y 
hinzuzufügen BB 


losigkeit ist das USB Chameleon 
(www .iwantoneofthose.com/usb-chame 
leon/index.html). Bequem findet es 
seinen Platz auf dem Monitor oder der 
Kante des Flachbildschirms, rollt die 
Augen und streckt gelegentlich die 
Zunge heraus, um Jagd auf Fliegen zu 
machen. Leider kann es nicht seine 
Farbe ändern, aber es ist bestimmt nur 
eine Frage der Zeit, bis jemand eine 
Kreuzung aus der USB Lava Lampe 
(www .thinkgeek.com/clearance/mega 
deals/7825/) und dem USB Chameleon 
erfindet. (ka) X 


Vor 10 Jahren: Reif sein ist nicht alles 


Schon 1998 prophezeiten wir, dass ab jetzt mit IP-Telefonie Geld ver- 
dient werden könne. Aber nicht immer fängt der frühe Vogel einen Wurm. 


Kennen Sie den Film „Die Reifeprü- 
fung“? Kurz zusammengefasst, wird da 
ein junger Mann von einer reifen Frau 
vernascht und bricht am Ende gegen ih- 
ren Willen mit ihrer Tochter auf zu neu- 
en Ufern. Kein IT-Thema? Von wegen: 
Man kann diese Handlung auf die tech- 
nische Entwicklung der IP-Telefonie 
übertragen: Da war eine junge Technik, 
die mit einer reiferen Frau in Gestalt 
der großen TK-Unternehmen wie „Ma 
Bell“ und „Tante Telekom“ zusammen- 
kommt. Doch erst mit ihren Nachkom- 
men, den agilen Töchtern und ihren 
DSL-Angeboten, wurde die IP-Telefo- 
nie zusammen mit der Multimedia-Flat- 
rate ein großes Thema, dass den Müttern 
heute schwer zu schaffen macht. 

Als iX in Ausgabe 5/98 unter dem Ti- 
tel „Reifeprüfung“ davon berichtete, 
dass 1998 das Jahr des Geldverdienens 
mit IP-Telefonietechnik werden sollte, 
da war die Welt noch in Ordnung. IP- 
Telefonie in Firmen über ISDN und vor 
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allem das kostengünstige Fax over IP 
mittels Gateway-Lösungen sollten von 
der nötigen Reife der Technik künden. 
Die großen TK-Firmen und die Internet- 
Provider dachten an einen ordentlich ge- 
regelten Markt für professionelle Dienst- 
leistungen. Mit keinem Wort ist im 
Artikel der Privatkunde bedacht, viel 
ist dagegen die Rede von der Aufrüs- 
tung von Nebenstellenanlagen und die 
IP-Integration in DV-Netze. Schlappe 
1810 DM pro Port wurden damals ver- 
langt und auch gezahlt, ein ISDN-Gate- 
way für 20 000 DM mit 8 möglichen 
Gesprächsverbindungen wurde als kos- 
tengünstige Lösung gepriesen. 

Bleibt die Frage, ob 1998 wirklich 
das Jahr des Geldverdienens mit Voice 
over IP war. In der Rückschau sieht es 
nicht danach aus. Nach den Marktzah- 
len von Pulver Communications kam 
der Anteil von Voice-over-IP-Gesprä- 
chen bis zum Jahr 2000 nicht über ein- 
stellige Prozentzahlen hinaus. Das än- 


derte sich erst, als sich aus 
der halbherzigen Integra- 
tion in Telefonanlagen 
Anlagen entwickel- 
ten, die komplett 
auf IP-Telefonie setz- 
ten, als mit SIP ein Stan- 
dard für die Vernetzung von 
Telefonsystemen aufkam und 
vor allem, als die private Verbreitung 
von DSL-Anschlüssen das Aufkommen 
von Diensten wie Skype ermöglichte. 
Heute ist die IP-Telefonie ein Stan- 
dard mit Flatrate- Anschlüssen im Haus, 
der auch die mobile Kommunikation, 
erreicht hat. Viele Firmen nutzen bei 
mobilen Auslandstelefonaten ihrer Mit- 
arbeiter Gateways und IP-Netze, um 
die Kosten einzudämmen. Windows 
Vista wurde von Microsoft erst freige- 
geben, als der „Skype-Kompatibilitäts- 
modus‘ zufriedenstellend funktionierte. 
Wenn 1998 also das Jahr der Reifeprü- 
fung war, dann war die dramatische 
Schlussszene dieser Kommunikations- 
geschichte noch nicht gedreht. Die Toch- 
ter, die der junge Mann im Film direkt 
vom Traualtar entführen konnte, war 
schlicht noch nicht auf der Bühne er- 
schienen. Detlef Borchers (JS) 
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Buchmarkt 


ls Sun Microsystems am 23. 

Mai 1995 die Programmier- 
sprache Java und den Browser 
Hotjava vorstellte, begann der 
Hype nicht gleich. Und die sei- 
nerzeit so omnipräsenten Applets, mit 
denen, wer etwas auf sich hielt, seine 
Website schmückte, sind fast in der Ver- 
senkung verschwunden. Die Sprache ist 
geblieben. Die Bücher ebenfalls. 
Und wie nicht an- 
ders zu erwarten 
sind neue hinzu- 
gekommen. 

Prentice Hall 
und O’Reilly haben 
schon in den Neun- 
zigerjahren Serien 
von Java-Büchern 
veröffentlicht und 
teilweise übersetzt. 
Deutschsprachige Ja- 
va-Bibeln sind zwar 
dünn gesät, aber es gibt 
sie — und das immer in 
Neuauflagen, wenn die 
Version wechselt. 

Guido Krügers „Java Programmierung“ 
liegt jetzt in der fünften Auflage vor und 
deckt die Standard-Edition in der Version 6 
ab. Für das Update hat er mit Thomas 
Stark einen Koautor bekommen, der sei- 
nerseits schon ein Werk zur Sprache ver- 
öffentlicht hat. Aber der Reihe nach. ‚Java 
Programmierung“ wiegt mit seinen 1300+ 
Seiten schwer in der Hand und eignet sich 
nicht fürs mobile Arbeiten. Allerdings ent- 
hält die DVD das Werk in einer HTML- 
Fassung. Eine erprobte Einführung in die 
Sprache, Objektorientierung und GUI-Pro- 
grammierung (AWT, Swing). 

Christian Ullenbooms „Java ist auch 
eine Insel“ darf momentan die 
siebte Auflage erleben und be- 
handelt auf mehr als 1400 Seiten 
dieselbe Java-Ausgabe wie Krü- 
ger und Stark. Für den Laptop 
enthält die DVD auch in diesem 
Fall das Werk als HTML, was 
bedeutet, dass es vom Komfort 
her keinen Unterschied gibt. In- 
haltlich gehen die Autoren unter- 
schiedlich vor. So widmet Ullen- 
boom XML und JNI eigene 
Kapitel, während Krüger und 
Stark sich ausführlicher mit 
OOP-Aspekten auseinanderset- 
zen. Ullenboom ist hier etwas 
aktueller, indem er das in Java 
SE 6 neue JAXB mit behandelt. 

Thomas Stark hat, wie ange- 
deutet, selbst einen Band zu Ja- 
va veröffentlicht, den ebenfalls 
bei Addison-Wesley verlegten 
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MEHR KBYTES 


Java 


„Java BE 5“, der im Untertitel „Einstieg 
für Anspruchsvolle“ heißt. Den Unter- 
schied zu den beiden Ungetümen sieht 
man schon am „EE“ (Enterprise Edition) 
im Titel sowie an der CD-ROM: 
JBoss und Tomcat sind dabei. 
Konsequenterweise dreht sich 
hier alles um Java Server Pa- 
ges/Faces, Struts oder XML- 
Verarbeitung. Schmankerl für 
die Käufer des erstgenannten 
1300-Seiters: Dessen DVD 
enthält dies Buch als PDF. 

Wer keine Referenz benö- 
tigt und sich nicht mit 
einem Übermaß an 

Papier beschweren 
will, für den hat 

Addison-Wesley 

Berthold Daums 
„Java 6“ ins Programm 
aufgenommen. Anhand eines 
Dashboard-Projekts führt der 
Autor auf weniger als 500 
Seiten ohne und mit GUI die 
Java-Programmierung vor — 
bis hin zu JAXB und Web- 
services. Weniger für Ein- 
steiger als für diejenigen, 
die ihre Kenntnisse vertie- 
fen wollen. 

Agile Programmierung hängt grund- 
sätzlich nicht von der verwendeten Spra- 
che ab. Dennoch hat Michael Hüttermann 
sein gerade bei O’Reilly erschienenes 
Buch „Agile Java-Entwicklung“ zum 
großen Teil auf die eine Sprache be- 


schränkt. Circa 120 Seiten stellen 
das Agile an sich dar, während 
die folgenden etwa 270 Seiten 
beschreiben, wie man die Metho- 
de mit Java-Werkzeugen wie Ant, 
JUnit, Maven und anderen umsetzt. Neu- 
linge könnten sich überfordert fühlen. 
Groovy ist groovy (toll, klasse) — und 
eine Skriptsprache für Java-Entwickler. 
In der Maiausgabe 2007 der iX war schon 
eine positive Besprechung des von Dierk 
König und anderen verfassten Manning- 
Buches „Groovy in Action“ zu lesen. Das 
hat den Hanser-Verlag nicht ruhen lassen, 
und noch im selben Jahr konnte Dorothea 
Heymann-Reders Übersetzung erschei- 
nen. Am gründlichen Charakter der Ein- 
führung hat sich nichts geändert. 
O’Reillys Alternative dazu ist Jörg 
Staudemeyers ebenfalls schon 2007 
veröffentlichtes „Groo- 
vy für Java-Ent- 
wickler“. Vom 
Umfang her kaum 
mehr als die Hälf- 
te des vorgenann- 
ten Bandes, kann 
dieser nicht diesel- 
be Ausführlichkeit 
bieten. Als Einstieg 
in die Java-Skript- 
sprache (als Imple- 
mentierung des JSR 
241) sollte er allemal 
„ hinreichen. Die Ent- 
scheidung zwischen 
den beiden Büchern 
fällt deshalb wahrscheinlich anhand der 
Anforderungen an die eigenen Anwen- 
dungen. Eine dritte Einführung veröffent- 
licht dieser Tage der dpunkt-Verlag. 
Java ist nicht nur eine Insel; vor allem 
ist es Grundnahrungsmittel für 
Geeks, jene dem Klischee zu- 
folge durcharbeitende Spezies, 
die sich mit Cola oder Kaffee 
und erkaltender Pizza wach 
hält, um beim agilen Pro- 
grammieren nicht zu dösen. 
Mela Eckenfels und Petra 
Hildebrandt, beide nicht un- 
geekish, haben für diese Be- 
völkerungsgruppe in O’Reil- 
lys Kochbuch-Reihe endlich 
Ökotrophologisches (Haushalt 
und Ernährung) zusammen- 
getragen. Von der Hardware 
(Küchenausrüstung) über di- 
verse Links und eingestreute 
Rezepte bis zum UML-Dia- 
gramm für Muffins reicht das 
Spektrum. Locker geschriebe- 
ner Geschenkkandidat. 
Henning Behme 
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Rezensionen 


Thomas Künneth 
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Eclipse 3.3 


clipse als Platzhirsch der 

Java-IDEs füllt Heerscharen 
von Büchern. Der 3.3er Inkar- 
nation hat sich Thomas Kün- 
neth mit einem reichhaltig be- 
bildertem Werk genähert, das 
sich nicht lange mit der Theorie 
aufhält, sondern in dem der 
Leser gleich nach der Installa- 
tion sein erstes Programm er- 
stellt und die Grundlagen von 
Eclipse mitbekommt. 


Thomas Künneth 
Einstieg in Eclipse 3.3 


Bonn 2007 

Galileo Computing 

394 Seiten 

29,90 € 

ISBN 978-3-89842-792-0 


Künneth geht im Weiteren 
auf die Eigenheiten der IDE 
ein (Sichten, Editoren, Per- 
spektiven). Einem ganzen Ka- 
pitel ist das Thema Arbeitsbe- 
reiche und Projekte gewidmet, 
wobei Tools wie Ant zur Spra- 
che kommen. Da Eclipse von 
der Vielzahl der vorhandenen 
Plug-ins lebt, wird neben der 
Installation über den Update- 
Manager und dem technischen 


Verständnis für die Plug-in- 
Architektur gleich ein „Hello 
World“-Plug-in geschrieben. 
Es folgt eine kleine RCP-An- 
wendung. Debugging kommt 
ebenso zu seinem Recht 
(Breakpoints, bedingte Pro- 
grammunterbrechung, Code- 
änderungen im Debug-Modus) 
wie die testgetrieben Entwick- 
lung mit JUnit. 

Auf CVS und Subversion 
geht Künneth mit dem nötigen 
Tiefgang ein (Einrichten eines 
Repositories, Konflikte mana- 
gen, Arbeiten im Team). Ein 
Kapitel zum Erstellen einer 
GUI-Anwendung mit dem 
Editor Jigloo und eins zur 
Web- und Ajax-Programmie- 
rung runden den Band ab, 
dabei erläutert er Swing-Eigen- 
heiten nur insoweit, wie sie 
zum Verständnis der Applika- 
tion notwendig sind. Im Web- 
und Ajax-Kapitel werden die 
Web Standard Tools als stati- 
sche (HTML, CSS) und dyna- 


mische Projekte (J2EE Stan- 
dard Tools als Bestandteil der 
Web Tools Platform) vorge- 
stellt. Ebenso reißt Künneth 
das Google Web Toolkit, die 
Rich Ajax Platform und das 
Ajax Toolkit Framework an. 
Man kann kaum erwarten, dass 
ein Einstieg in Eclipse großen 
Tiefgang bei solch speziellen 
Abschnitten aufweist. 
Obwohl Künneth auf die 
Eigenheiten der verschiede- 
nen Betriebssysteme Win- 
dows, Linux und Mac OS X 
zu sprechen kommt, vergisst 
er gelegentlich eins. Dennoch 
ist sein Buch eins, das jedem 
ambitionierten Programmierer 
empfohlen werden kann. 
Java-Kenntnisse sollte der 
Leser mitbringen, da Künneth 
zwar einige Themen wie das 
Refactoring kurz anspricht, 
aber zu Recht gleich den Ver- 
weis auf Fowlers Klassiker 
anbringt. 
KARSTEN KISSER 
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Rezensionen 


{ entwickler 


Modellgetriebene 
Softwareentwicklung 


MOA und MOSD in der Prax 


rag. 


odellgetriebene Soft- 
wareentwicklung ist eins 
der Trendthemen, dem sich 
wahrscheinlich kein Entwick- 
ler entziehen kann. Doch wel- 
che Vor- und Nachteile hat das 
MDSD (Model-Driven Soft- 
ware Development)? Wann 
lohnt sich sein Einsatz? Und 
welche Auswirkungen zeigen 
sich in Bezug auf die bestehen- 
den Entwicklungsprozesse? 
Diesen und einigen anderen 
Fragen gehen Pietrek und 
Trompeter zusammen mit 


Georg Pietrek, 
Jens Trompeter 


Modellgetriebene 
Softwareentwicklung 


MDA und MDSD in der Praxis 


Frankfurt/Main 2007 
Entwickler Press 

256 Seiten 

39,90 € 

ISBN 978-3939084112 


einem großen Autorenteam 
auf den Grund. Zunächst sei 
vorweggenommen: Der Titel 
hält, was er verspricht, denn 
die Inhalte sind auf den Pra- 
xiseinsatz zugeschnitten. Da- 
mit richtet sich das Buch vor 
allem an IT-Manager, Projekt- 
leiter, Softwarearchitekten und 
Entwickler, die sich näher mit 
domänenspezifischen Spra- 
chen und Modellierung aus- 
einandersetzen und das Ge- 
lernte in eigenen Projekten 
umsetzen möchten. 


In der Einleitung des gut 
strukturierten Bandes klären 
die Autoren, was man unter 
modellgetriebener Software- 
entwicklung überhaupt ver- 
steht und welche Vorteile sie 
mit sich bringt. Jede Entwick- 
lungsmethodik muss sich in 
bestehende Entwicklungspro- 
zesse einfügen können. Dies 
ist Thema des nächsten Ka- 
pitels, das zeigt, wie sich 
MDSD in Kombination mit 
V-Modell XT, RUP und agilen 
Entwicklungsprozessen ver- 
hält. Im darauffolgenden Kapi- 
tel gehen die Autoren ausführ- 
lich darauf ein, wie man Soft- 
waresysteme modellieren und 
validieren kann. Auf diese Er- 
läuterungen folgen zahlreiche 
Erkenntnisse aus der Praxis. 
Den Einstieg bildet die Ana- 
lyse zweier domänenspezifi- 
scher Sprachen und wie diese 
entworfen wurden. 

Anschließend vermitteln 
Pietrek und Trompeter Best 
Practices für die MDSD. Sie 
erläutern die Verwendung von 
Codegeneratoren und stellen 


Strategien zur Versionierung 
der Quelltexte vor. Zudem er- 
fährt man, wie MDSD in den 
Build-Prozess integriert wer- 
den kann und wie man solche 
Systeme dokumentiert. Der 
letzte Teil zeigt anhand eines 
durchgehenden Beispiels alle 
Schritte, die zur erfolgreichen 
Umsetzung einer einfachen Bi- 
bliothekssoftware nötig sind — 
beginnend bei der Erstellung 
des Anwendungsmodells bis 
hin zur fertigen Applikation. 
Das Buch ist prägnant und 
kurzweilig zu lesen, die vielen 
Listings erlauben eine schnelle 
Umsetzung der gelernten Kon- 
zepte. Lediglich beim Code im 
letzten Kapitel fehlt ein wenig 
der Zusammenhang. Das stört 
allerdings kaum, da auf der 
CD-ROM eine Entwicklungs- 
umgebung inklusive Listings 
zu finden ist. Damit können 
Leser sie sofort anpassen. Ein 
gutes Buch, das den Einstieg in 
die modellgetriebene Soft- 
wareentwicklung erfolgreich 
zu meistern hilft. 
FLORIAN POTSCHKA 


Transcending 


6 


ddison-Wesley hat sich in 

den letzten Jahren des 
Themas Webdesign mit CSS 
in einer Reihe von Büchern an- 
genommen, darunter die von 
Eric Meyer und Jeffrey Zeld- 
man. Mit dem vorliegenden ist 
eins hinzugekommen, das zu 
Recht neben den gerade ge- 
nannten stehen darf. Eins 
gleich vorab: Das hier vorge- 
stellte Buch ist nichts für CSS- 
Einsteiger. Es spricht vielmehr 
diejenigen an, die Erfahrungen 
mit XHTML sowie Cascading 
Stylesheets haben und größere 
Designschritte nach vorn beab- 
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Andy Clarke, 
Molly E. Holzschlag 


Transcending CSS 


Neue kreative 
Spielräume im Webdesign 


München 2007 
Addison-Wesley 
Übersetzung: Jürgen Dubau 
372 Seiten; 44,95 € 

ISBN 978-3-8273-2545-7 


sichtigen oder zumindest nicht 
ausschließen wollen. Was der 
britische Webdesigner Andy 
Clarke, der den Text zu verant- 
worten hat, mit Unterstützung 
von Molly Holzschlag zustan- 
degebracht hat, geht über Mini- 
malanforderungen wie, dass 
alle Browser dasselbe zeigen 
sollen, weit hinaus. 
Ausgehend von Webde- 
sign-Entwicklungen der letz- 
ten Jahre beschreibt Clarke das 
sogenannte „progressive en- 
hancement“ oder MOSe (Mo- 
zilla/Opera/Safari enhance- 
ment) und darauf aufbauend 


das den Buchtitel gebende 
Transcendent CSS. Verkürzt 
gesagt empfiehlt er: alle CSS- 
Selektoren nutzen, sogar die 
aus CSS3, keine Hacks und 
Filter, stattdessen notfalls 
Scripts verwenden. Ein sol- 
ches Vorgehen bedeutet, dass 
standardkonforme Browser 
ein ausgeklügelteres Seiten- 
layout zeigen können als die, 
die CSS nicht so weit imple- 
mentiert haben (beispiels- 
weise Attributselektoren, meh- 
rere Hintergrundbilder und 
Mehrspaltenlayout). Was dabei 
herauskommt, ist Design, das 
streng Inhalt von Präsentation 
trennt und immer wieder vom 
Motto „Die ganze Welt ist 
eine Liste“ (S. 79) ausgehend 
beschreibt, wıe solches Sim- 
pel-Markup (ul, ol, dl) in ele- 
gant gestaltetes Design mün- 
den kann. 

Üppig bebildert veranschau- 
licht der leicht querformatige 
Band oftmals, inwieweit das 
im Text Vorgetragene sich im 
Leben beziehungsweise dessen 


Ablichtung wiederfindet — bei- 
spielsweise die genannten Lis- 
ten. Oder er betont Zitate, 
indem er sie eine ganze Seite 
einnehmen lässt. 

Ob Namenskonventionen 
für ,„Standard“-divs oder 
Mikroformate, ob z-index oder 
Gitterdesign — quer durch das 
Werk finden sich Anregun- 
gen, die der Leser geneigt sein 
könnte, sofort ausprobieren zu 
wollen. Ein Rechner in Lese- 
nähe bietet sich deshalb an. 

Clarke ist sich nicht zu scha- 
de, immer wieder auf (Online-) 
Aufsätze anderer zu verweisen, 
was den Vorteil hat, dass mit- 
schreibwütige Linksammler 
jede Menge spannender URLs 
sammeln können. Unter trans 
cendingcss.com/support finden 
sich eine Reihe Listings zum 
Download, darunter leider 
nicht die URL-Sammlung. 

Ein Buch, das Webdesigner, 
die nicht schon alles wissen, 
auf jeden Fall im Nachschlage- 
zugriff haben sollten. 

HENNING BEHME 
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Das bringen 


Open-Source- 
Business-Modelle 


Würde ein Händler seine Waren ver- 
schenken, anstatt sie gewinnbringend an 
den Mann oder die Frau zu bringen, wäre 
er innerhalb kürzester Zeit pleite. Doch in 
der Software-Industrie beginnt sich mit 
dem Erfolg von Open Source ein Ge- 
schäftsmodell zu etablieren, das genau 
dies zum Prinzip erhebt - das überwie- 
gende Verschenken der eigenen Produkte. 
iX erklärt, warum das trotzdem funktio- 
nieren kann. 


ECM als Open Source 


Produkte, die Enterprise Content Manage- 
ment (ECM) versprechen, kommen übli- 
cherweise für teures Geld ins Haus. Mit 
Alfresco existiert immerhin ein solches 
System, das als Open Source keinen initia- 
len Kostendruck erzeugt. Es nutzt eine 
Reihe von Java-Werkzeugen - Tomcat, 
Hibernate, Spring et cetera - und besteht 
aus einem Datenbank-Backend, einem 
Application Server sowie dem Browser als 
Frontend. Versionsstand ist 2.1, verfügbar 
ist das ECMS für Windows und Linux. 


Heft 06/2008 
erscheint am 15. Mai 2008 


Mailserver 
als Fertigprodukt 


Zu den letzten großen Geheimnissen des 
Internet scheint das störungsfreie Betreiben 
von Mailservern zu gehören. Daher greifen 
viele Anwender gerne zu Komplettpaketen 
aus Soft- und Hardware, sogenannten 
Appliances - in der Hoffnung, dass darin 
auch kompetente Entwicklungsarbeit steckt. 
Ein Überblick über den im Bereich E-Mail 
besonders vielfältigen Appliance-Markt. 


Sicherheitstests 
per Google 


Wenn es um das Aufspüren verwundbarer 
Webseiten oder das Sammeln vertraulicher 
Informationen geht, ist Google-Hacking seit 
einiger Zeit das Mittel der Wahl. Es war nur 
eine Frage der Zeit, bis jemand auf die Idee 
kam, diese Technik zu automatisieren und 
mit einer bequemen Benutzeroberfläche zu 
versehen. Ein Test zeigt, wie effektiv das 
Hackerwerkzeug Goolag wirklich ist. 


N; 
de} PS 


VoIP-Sicherheit versus 
Sprachverständlichkeit 


Wer mit Voice over IP sicher telefonieren 
will, kommt um zusätzliche Maßnahmen wie 
VPN-Tunnel nicht herum. Das Verschlüsseln 
kostet jedoch Rechenzeit und führt zu Ver- 
zögerungen beim IP-Paketversand. Wie 
sich das auf die Sprachqualität auswirkt, 
berichtet iX in der nächsten Ausgabe. 


Kein wichtiges Thema mehr versäumen! 


Die aktuelle iX-Inhaltsübersicht per E-Mail 


Man verpasst ja 
sonst schon genug! 
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Blu-ray-Laufwerke für den PC 


Neue Browser: IE8 und Co. unter 
der Lupe 


Web-Radios schicken UKW- 
Empfänger aufs Altenteil 


Scan-Kopier-Fax-Drucker: 
Universelle Bürohilfen 


Technology 


Das 


Review 


% 


Fit für die Zukunft? 20 Spitzen- 
forscher stellen 50 Fragen. 


Alles nur gespielt: Simulationen 
für Forschung und Produktion 


Strom aus Wellen: Wie die Kraft 
der Weltmeere Energie liefern soll 


TELEPOLIS 


MAGAZIN DER NETZKULTUR 


Pat 


Bernd Schröder: Der kanadische 
Olsand-Komplex — ein Boom und 
seine Folgen 


Rüdiger Suchsland: Kitsch und 
Frieden 


Vom Geist der Gesetze: Die Berliner 
Republik als Kriminalfall 
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